facebook.com
mind
ESET виявив компанію, яка за 5 років заразила шкідливим ПЗ понад 100 000 комп'ютерів в Україні

ESET виявив компанію, яка за 5 років заразила шкідливим ПЗ понад 100 000 комп'ютерів в Україні

Як перевірити, чи було заражено ваш комп’ютер?

ESET виявив компанію, яка за 5 років заразила шкідливим ПЗ понад 100 000 комп'ютерів в Україні
Частки заражень шкідливим ПЗ по країнах
інфографіка ESET

Дослідники словацької антивірусної компанії ESET виявили adware-кампанію Stantinko, яка успішно діяла ще з 2012 року, зловмисникам вдалося заразити більше 500 000 пристроїв. Найбільше постраждалих в Україні (33%) і Росії (46%). Про це пише сайт AiN.ua з посиланням на дослідження ESET .

Розробники Stantinko встановлювали розширення для браузера Chrome, які вставляють рекламу і займаються клікфродом (клікання на рекламні оголошення без відома зараженого користувача).

Однак шкідливі програми цим не обмежилися: зафіксовано встановлення ботів, які (без відома власника комп’ютера) проводили масовий пошук в Google; проводили атаки на панелі адміністраторів Joomla та WordPress з метою їх злому і продажу; дозволяли повністю управляти зараженим комп’ютером зі сторони.

Процес встановлення шкідливого ПЗ без відома користувача:

Що цікаво – зловмисникам вдалося приховувати від антивірусів активність шкідливого ПЗ протягом п'яти років.

Завантаження Stantinko (разом з сервісами Mail.Ru на зразок браузера Amigo) на комп'ютер жертви відбувалося через ще одне шкідливе ПЗ – FileTour. Воно, в свою чергу, поширюється через сайти з піратським ПЗ на зразок Microsoft Office або іграми типу Grand Theft Auto V, іноді під виглядом торрент-файлів. FileTour встановлює безліч програм, відволікаючи увагу користувача від завантаження ПЗ від Stantinko, яке відбувається паралельно.

На відео показано, як з встановленим The Safe Surfing при кліку на посилання в Rambler користувач перенаправляється на інший сайт:

На перший погляд шкідливі ПЗ виглядають як легітимні розширення, що блокують небажані посилання. Але під час установки вони отримують спеціальну конфігурацію, яка дозволяє займатися клікфродом і вбудовуванням реклами.

Завдяки цьому в Stantinko заробляли на трафіку, який вони надавали рекламодавцям.

Клікфрод – одне з найбільш прибуткових занять для кіберзлочинців. Згідно з дослідженням компанії White Ops і Асоціації національних рекламодавців, загальний обсяг ринку клікфрода в 2017 році складе $6,5 млрд.

У Stantinko також є спеціальний модуль для Facebook, який дозволяє створювати через заражені комп'ютери акаунти в соцмережі, лайкати сторінки і додавати в друзі. Махінації з Facebook дійсно вигідні, оскільки 1000 лайків можуть коштувати близько $15, навіть якщо вони генеруються ботами.

Дізнатися, чи заражений комп’ютер, можна перевіривши список розширень, встановлених на ваш браузер Chrome. Список можна знайти, натиснувши у верхній правій частині браузера Налаштування і управління Google Chrome – Додаткові інструменти – Розширення (chrome://extensions/ )

Про зараження свідчить наявність розширень Teddy Protection і The Safe Surfing.