روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛کارشناسان امنیتی ایست به تازگی از بات نتی خبر دادند که به مدت 5 سال به صورت پنهان باقی مانده بود و توانسته نیم میلیون سیستم را آلوده و به دستگاه آن ها تسلط کامل پیدا کند. این بات نت که Stantinko نام گرفته است توسط یک کمپین تبلیغاتی وسیع از سال 2012 فعال شده است. این بات نت کشورهای متعددی را مورد حمله ی خود قرار داده است که اوکراین و روسیه بیشترین تعداد آلودگی را توسط آن داشته اند.

علت پنهان ماندن این بات نت تا به امروز استفاده از روش هایی همچون رمزنگاری برو روی کد هایش بوده است که نرم افزارهای امنیتی را دور زده و باعث شده است این نرم افزار سال ها به صورت مخفی به فعالیت خود ادامه دهد. در ابتدای جاسوسی این بات نت از ابزاری به نام FileTour به‌عنوان بردار اولیه‌ی آلودگی استفاده می‌ کند. FileTour قادر است برنامه های مختلفی را بر روی سیستم اجرا کند و توسط آن ها به آلودگی دستگاه بپردازد. یکی از این برنامه های مخرب بدافزار Stantinko بوده است که در بک گراند سیستم قابل اجرا است.

اقدام این بات نت به طور کاملا گسترده ای برای نصب افزونه بر روی مرورگرها و در ادامه به تزریق تبلیغات و فریب برای کلیک و سودجویی در این باره می باشد. از این طریق برخی از سرویس های ویندوزی ایجاد می شود که قادر است عملیات وسیع تری را انجام دهد که این عملیات شامل فعالیت های بک دور یا همان درب پشتی، جستجو در گوگل و اجرای حمله‌ ی جستجوی فراگیر بر روی پنل ‌های مدیریتی وردپرس و جوملا می باشد.

پس از اینکه سامانه آلوده شد، Stantinko دو سرویس ویندوزی مخرب را راه اندازی می کند که هر کدام از آن ها می توانند در صورت حذف دیگری دو مرتبه آن را ایجاد و راه اندازی کند. پس برای رفع این آلودگی از سیستم می بایستی همه ی این سرویس ها را به صورت همزمان از روی سیستم حذف کرد. در صورتی که چنین نباشد نسخه‌ی جدیدی از سرویسی که حذف شده، توسط کارگزار دستور و کنترل ارائه خواهد شد. 

نام افزونه هایی که توسط این بات نت بر روی مرورگر نصب می شوند "The Safe Surfing" و "Teddy Protection" است که هر دوی این افزونه ها در فروشگاه کروم توزیع و اینطور که بنظر می رسند برنامهه ایی کاملا قانونی هستند که آدرس‌های URL ناخواسته را مسدود می ‌کنند. با وجود تمام تفاسیر در زمانی که این افزونه ها توسط بات نت نصب شوند، پیکربندی هایی را دریافت می کنند که توسط آن می توانند کلیک ربایی کنند و به نمایش تبلیغات ناخواسته بپردازند.

اما Stantinko دارای یک ویژگی درب پشتی است که می تواند هرگونه پرونده‌های اجرایی ویندوز را لود و به ‌طور مستقیم در حافظه ‌ی سیستم قربانی اجرا کند. اینطور که بنظر می رسد نویسندگان این نرم افزار مخرب مالکان محصولات تبلیغاتی هستند زیراکه پس از آلودگی، کاربران مستقیم به وب سایت هایی هدایت می‌شوند که در آن‌ها محصولاتی تبلیغ می‌شود. افرادی که پشت این حمله هستند حساب های مدیریتی همچون جوملا و وردپرس را نادیده نگرفته اند و با سرقت گواهینامه های حساب ها و فروش آن ها در بازارهای زیرزمینی آن ها را مورد هدف قرار داده اند.

در این رابطه توصیه می کنیم از یک راهکار امنیتی که افزونه های مرورگر و تبلیغاتی را غیر فعال کند استفاده کنید. راهکارهای اینترنت سکیوریتی و توتال سکیوریتی کسپرسکی چنین قابلیت هایی را دارند و توسط این مطلب می توانید این ماژول را در این راهکارها فعال سازید.

منبع: کسپرسکی آنلاین(ایدکو)

*  کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکی، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکي نام دارد.