Těžce identifikovatelný nový kmen malwaru se šíří prostřednictvím dvou plug-inů pro prohlížeč Chrome.
Malware Stantinko cílí především na Rusko, Ukrajinu a Bělorusko. Jedná se o síť botů, jež svým tvůrcům generují zisky instalací rozšíření webového prohlížeče, které při surfování na webu vkládá podstrčené reklamy. Pokud dojde k jeho instalaci do počítače, dokáže anonymně provádět masivní vyhledávání na Googlu a vytvářet falešné účty na Facebooku, kde dokáže „lajkovat“ fotografie, stránky a přidávat přátele. V České republice je riziko nakažení poměrně nízké. Cílem této kampaně je především .
Modulární zadní vrátka
Schopnost malwaru Stantinko vyhnout se detekci antivirových programů spočívá ve využití silné obfuskace a skrývání se ve zdrojových kódech, které na první pohled vypadají legitimně. Škodlivý kód využívá vyspělé techniky a je skryt buď zašifrovaný v souboru, nebo v registru Windows. Následně je dešifrován pomocí klíče, který se vygeneruje během prvotního napadení. Jeho škodlivé chování nelze detekovat, dokud ze svého řídicího serveru neobdrží nové komponenty, což komplikuje jeho odhalení.
Jakmile je počítač infikován, nainstaluje dvě škodlivé služby v rámci operačního systému Windows, které se spouští při každém jeho startu. Malwaru je obtížné se zbavit, protože každá z obou služeb má schopnost znovu nainstalovat tu druhou. Aby uživatel problém plně eliminoval, musí vymazat ze svého počítače obě tyto služby současně.
Když se Stantinko dostane do počítače, nainstaluje do prohlížeče dva plug-iny pro Chrome The Safe Surfing a Teddy Protection. Na první pohled vypadají jako legitimní rozšíření webového prohlížeče a dokonce mají své internetové stránky. Pokud je však nainstaluje Stantinko, obdrží tato rozšíření odlišnou konfiguraci, která obsahuje příkazy na provádění podvodných kliknutí na reklamy a vkládání vlastního kódu do navštěvovaných webových stránek.
Když se Stantinko infiltruje do počítače, mohou operátoři tohoto malwaru používat flexibilní pluginy k tomu, aby s nakaženým počítačem prováděli, cokoli si budou přát. To znamená například masivní anonymní vyhledávání stránek vytvořených pomocí nástrojů Joomla a WordPress, na něž následně provádějí útoky s cílem vyhledání a odcizení dat, a mohou též vytvářet falešné účty na Facebooku.
Uvedená data pocházejí ze studie společnosti Eset. V České republice je riziko nakažení podle ní poměrně nízké. Evidováno je přibližně tisíc detekcí. V počtu detekcí tohoto malware je Česká republika na dvaadvacátém místě.
