Stantinko touche 500.000 utilisateurs. ESET sonne l’alarme

Le malware dissimulé Stantinko peut effectuer des recherches massives sur Google de façon anonyme et créer de faux comptes sur Facebook capables de «liker» des pages et des amis.

Très discret, le malware Stantinko pousse ses victimes à télécharger un logiciel pirate à partir des faux sites torrents; actif depuis plus de cinq ans, il s’est continuellement modifié pour éviter d’être démasqué. Stantinko fonctionne tel un réseau de bots. Il se finance en installant des extensions aux navigateurs, qui injectent de fausses publicités lorsque l’on surfe sur le web. Une fois installé sur la machine, il peut effectuer des recherches massives sur Google de façon anonyme et créer de faux comptes sur Facebook capables de «liker» des illustrations, des pages et des amis.

La capacité de Stantinko à éviter la détection antivirus  est due au fait qu’il se cache dans du code qui semble tout à fait légitime. Utilisant des techniques avancées, le code malveillant est caché ou chiffré dans un fichier ou le registre Windows. Il est alors décrypté en utilisant une clef générée lors de l’infection initiale. Son comportement malveillant ne peut être détecté avant qu’il ne reçoive de nouvelles composantes de son serveur de commande et de contrôle, ce qui le rend difficile à découvrir.

Des règles pour effectuer des fraudes par clic et des injections publicitaires 

Une fois qu’une machine est infectée, Stantinko installe deux services Windows nuisibles qui se lancent chaque fois que le système démarre. «Il est difficile de s’en débarrasser une fois que vous l’avez, car chaque service a la possibilité de réinstaller l’autre au cas où l’un d’entre eux serait supprimé du système, explique Frédéric Vachon, chercheur en logiciels malveillants chez ESET. Pour éliminer complètement le problème, les utilisateurs doivent supprimer les deux services de leurs machines en même temps.»

Une fois en place sur un appareil, Stantinko installe deux plugins dans le navigateur web -The Safe Surfing et Teddy Protection- tous deux disponibles  sur Google Chrome Web Store. «Les deux plugins étaient toujours disponibles lors de notre analyse, explique Marc-Etienne Léveillé, chercheur malware senior chez ESET. A première vue ils ont l’air d’extensions tout à fait légitimes au navigateur et disposent même d’un site web. Cependant, installées par Stantinko, ces extensions sont configurées de manière différente et contiennent des règles pour effectuer des fraudes par clic et des injections publicitaires.»

Lorsque le malware s’est infiltré, les opérateurs Stantinko peuvent utiliser des plugins flexibles pour faire tout ce qu’ils veulent avec le système infecté. Cela comporte des recherches anonymes massives pour trouver des sites Joomla et WordPress, des attaques en force brute sur ces sites, trouver et voler des données et créer de faux comptes sur Facebook.

Comment les pirates Stantinko se font-ils de l’argent ?

Stantinko peut être très lucratif car la fraude par click est une source majeure de revenus pour les pirates. Aux USA, une recherche opérée par White Ops  et l’Association of National Advertisers estime que la fraude par clic coutera aux entreprises 6,5 milliards de dollars rien que cette année…

Des détails concernant les sites victimes des attaques en force brute peuvent également être vendus sur le marché souterrain après que ces sites aient été infectés par Stantinko, qui devine les mots de passe en utilisant des milliers d’identités différentes.

Bien que les chercheurs d’ESET n’aient pas été témoins de ces activités malveillantes sur le réseau social, les opérateurs Stantinko disposent d’un outil qui leur permet de frauder sur Facebook, en vendant des «like» afin d’attirer, de manière illégale, l’attention des consommateurs sans méfiance.

Les plugins The Safe Surfing et Teddy Protection sont capables d’injecter des publicités ou de rediriger les utilisateurs. «Ceci permet aux opérateurs Stantinko  d’être payés pour le trafic qu’ils procurent à ces publicités. Nous avons même trouvé que des utilisateurs visitent directement le site des annonceurs par le biais de publicités appartenant à Stantinko», conclut Matthieu Faou, chercheur malware chez ESET.

Pour en savoir plus sur Stantinko, visitez welivesecurity.com.