Selama lima tahun terakhir botnet Statinko mampu bertahan di bawah radar dengan menggunakan kode enkripsi yang kuat dan beradaptasi dengan cepat sehingga tidak terdeteksi oleh software keamanan. Kemampuan ini membuatnya seperti hilang dari pandangan saat mereka melakukan operasi. Aktivitas siber ini akhirnya dapat dibongkar oleh para peneliti ESET setelah melalui investigasi dan penelitian yang panjang dan rumit.
Statinko saat menginfeksi sebuah sistem, mereka mengelabui pengguna yang mencari software bajakan untuk mengunduh file executable yang terkadang disamarkan sebagai torrents. Vektor instalasi Stantinko, FileTour kemudian memasang banyak software untuk mengalihkan perhatian pengguna saat diam-diam menginstal layanan Stantinko di balik layar.
Operator Stantinko mengendalikan botnet besar yang mereka monetisasi terutama dengan menginstal ekstensi browser berbahaya yang melakukan injeksi iklan dan penipuan klik. Namun, mereka tidak berhenti sampai disitu. Layanan Windows yang mereka pasang memungkinkan mereka untuk menjalankan apa pun pada host yang terinfeksi. ESET melihat mereka terbiasa mengirim backdoor berfitur lengkap, bot tersebut melakukan penelusuran masif di Google, dengan tool yang mampu melakukan serangan brute force pada panel administrator Joomla dan WordPress dalam upaya untuk mengambil alih dan menjualnya kembali.
Stantinko menonjol dalam cara mengeliminasi deteksi antivirus dan menggagalkan upaya rekayasa balik yang menentukan apakah tindakan mereka tersebut menunjukkan perilaku jahat. Untuk melakukannya, pengembang malware Stantinko memerlukan beberapa hal untuk melakukan analisis lengkap. Yang di antaranya selalu melibatkan dua komponen: loader dan komponen terenkripsi.
Kode berbahaya disembunyikan di komponen terenkripsi yang berada di disk atau di Windows Registry. Kode ini dimuat dan didekripsi oleh executable. Kunci untuk mendekripsi kode ini dihasilkan berdasarkan per infeksi. Beberapa komponen menggunakan pengenal bot dan yang lainnya menggunakan nomor seri volume dari hard disk korban-korbannya. Deteksi yang dapat diandalkan berdasarkan komponen yang tidak dienkripsi adalah tugas yang sangat sulit, karena artefak yang berada pada disk tidak mengekspos perilaku jahat sampai mereka dieksekusi.
Stantinko memiliki mekanisme ketahanan yang kuat. Setelah kompromi sukses, mesin korban memiliki dua layanan Windows berbahaya terpasang, yang diluncurkan pada saat startup sistem. Setiap layanan memiliki kemampuan untuk menginstal ulang yang lain jika salah satunya dihapus dari sistem. Sehinggsa untuk berhasil menghapus ancaman ini, kedua layanan tersebut harus dihapus pada saat bersamaan. Jika tidak, server C & C dapat mengirim versi baru layanan yang dihapus yang belum terdeteksi atau berisi konfigurasi baru.
Fungsi utama Stantinko adalah memasang ekstensi browser berbahaya yang diberi nama Safe Surfing and Teddy Protection. Kedua ekstensi tersedia di Toko Web Chrome. Awalnya mereka terlihat seperti ekstensi browser asli yang memblokir URL yang tidak diinginkan. Namun, ketika dipasang oleh Stantinko, ekstensi tersebut menerima konfigurasi berbeda berisi aturan untuk melakukan klik fraud dan ad injection.
Stantinko adalah backdoor modular. Komponennya menyematkan loader yang memungkinkan mereka mengeksekusi executable Windows yang dikirim oleh server C & C secara langsung di memori. Fitur ini digunakan sebagai sistem plugin yang sangat fleksibel sehingga memungkinkan operator mengeksekusi apapun pada sistem yang terinfeksi.
Mesin pencari uang
Selama ini penggunaan Stantinko paling sering terlihat sebagai APT atau Advanced Persistent Threat, tapi tujuan akhir mereka tetap saja untuk menghasilkan uang, dan di pasar siber, botnet punya tempat paling menguntungkan dalam meraup laba.
- Click fraud atau penipuan klik saat ini merupakan sumber pendapatan utama ekosistem kejahatan siber. Penelitian dari White Ops and the Association of National Advertisers Amerika Serikat memperkirakan click fraud akan menghabiskan biaya hingga 6,5 juta dolar. Seperti yang dijelaskan di atas, Stantinko menginstal dua ekstensi browser, Safe Surfing dan Teddy Protection yang mengalihkan pengguna atau menyuntikkan iklan. Upaya ini memberikan operator Stantinko keuntungan karena mereka dibayar atas lalu lintas yang mereka berikan kepada pengiklan.
Studi yang dilakukan ESET juga menunjukkan bahwa pelaku memiliki kedekatan dengan para pengiklan. Dalam beberapa kasus, pengguna bisa sampai di situs pengiklan secara langsung setelah jaringan iklan milik Stantinko. Di sisi lain, malware click fraud tradisional bergantung pada serangkaian pengalihan di antara beberapa jaringan iklan untuk menutupi lalu lintas berbahaya mereka. Ini menunjukkan bahwa operator Stantinko tidak hanya dapat mengembangkan malware yang sangat tersembunyi, namun juga mampu menyalahgunakan penayangan iklan tradisional tanpa tertangkap. - Mereka juga bisa mendapatkan akses ke akun administratif situs Joomla dan WordPress. Serangan mereka bergantung pada serangan brute force menggunakan daftar kredensial. Tujuannya adalah untuk menebak password dengan mencoba puluhan ribu kredensial yang berbeda. Setelah diambil alih, akun ini dapat dijual kembali di pasar bawah tanah. Kemudian, mereka dapat digunakan untuk mengarahkan pengunjung situs untuk mengeksploitasi perangkat di tempat lain atau untuk memasukkan konten berbahaya.
- Penelitian ESET juga menunjukkan bagaimana Stantinko melakukan kecurangan di jejaring sosial. Jenis kecurangan ini sangat menguntungkan karena, mereka bisa memanfaatkan botnet untuk mencari uang dengan menawarkan like di Facebook, jika harga per 1000 like sekitar $15, bisa kita bayangkan berapa uang yang mereka kantongi bila memiliki ribuan bahkan jutaan botnet yang dihasilkan oleh akun palsu yang dikendalikan oleh botnet.
Operator Stantinko mengembangkan sebuah plugin yang bisa berinteraksi dengan Facebook. Hal ini dapat, antara lain, untuk membuat akun, like, page atau menambahkan teman. Untuk melewati CAPTCHA Facebook, ini bergantung pada layanan anti-CAPTCHA online. Jumlah botnet Stantinko adalah keuntungan tersendiri karena memungkinkan para operatornya untuk mendistribusikan queri di antara semua bot. Dengan demikian, semakin sulit bagi Facebook untuk mendeteksi jenis penipuan ini.
Stantinko adalah ancaman yang sangat berbahaya, karena kehadiran mereka tidak terlihat dan terdeteksi, kemampuan lainnya yang mampu mencuri Joomla ataupun WordPress menambah nilai minusnya. Selain itu, kehadiran backdoor berfitur lengkap memungkinkan operator memata-matai semua mesin yang menjadi korban.
Sebelum berhasil ditemukan oleh ESET, mereka berkeliaran dengan bebas tanpa gangguan dengan menggunakan teknik canggih seperti enkripsi kode dan kode penyimpanan di registry Windows. Operator Stantinko mampu bersembunyi di bawah radar selama lima tahun terakhir dan mereguk banyak keuntungan dan menyebabkan sekitar 500.000 mesin terinfeksi. Syukurlah hasil dari aksi dan kerja keras peneliti ESET, Stantinko tidak bisa bergerak bebas lagi di dunia maya.
Sumber berita:
https://www.welivesecurity.com
