Дослідники словацької антивірусної компанії ESET виявили adware-кампанію Stantinko, яка успішно діяла ще з 2012 року, зловмисникам вдалося заразити більше 500 000 пристроїв. Найбільше постраждалих в Україні (33%) і Росії (46%). Про це пише сайт AiN.ua з посиланням на дослідження ESET .
Розробники Stantinko встановлювали розширення для браузера Chrome, які вставляють рекламу і займаються клікфродом (клікання на рекламні оголошення без відома зараженого користувача).
Однак шкідливі програми цим не обмежилися: зафіксовано встановлення ботів, які (без відома власника комп’ютера) проводили масовий пошук в Google; проводили атаки на панелі адміністраторів Joomla та WordPress з метою їх злому і продажу; дозволяли повністю управляти зараженим комп’ютером зі сторони.
Процес встановлення шкідливого ПЗ без відома користувача:
Що цікаво – зловмисникам вдалося приховувати від антивірусів активність шкідливого ПЗ протягом п'яти років.
Завантаження Stantinko (разом з сервісами Mail.Ru на зразок браузера Amigo) на комп'ютер жертви відбувалося через ще одне шкідливе ПЗ – FileTour. Воно, в свою чергу, поширюється через сайти з піратським ПЗ на зразок Microsoft Office або іграми типу Grand Theft Auto V, іноді під виглядом торрент-файлів. FileTour встановлює безліч програм, відволікаючи увагу користувача від завантаження ПЗ від Stantinko, яке відбувається паралельно.
На відео показано, як з встановленим The Safe Surfing при кліку на посилання в Rambler користувач перенаправляється на інший сайт:
На перший погляд шкідливі ПЗ виглядають як легітимні розширення, що блокують небажані посилання. Але під час установки вони отримують спеціальну конфігурацію, яка дозволяє займатися клікфродом і вбудовуванням реклами.
Завдяки цьому в Stantinko заробляли на трафіку, який вони надавали рекламодавцям.
Клікфрод – одне з найбільш прибуткових занять для кіберзлочинців. Згідно з дослідженням компанії White Ops і Асоціації національних рекламодавців, загальний обсяг ринку клікфрода в 2017 році складе $6,5 млрд.
У Stantinko також є спеціальний модуль для Facebook, який дозволяє створювати через заражені комп'ютери акаунти в соцмережі, лайкати сторінки і додавати в друзі. Махінації з Facebook дійсно вигідні, оскільки 1000 лайків можуть коштувати близько $15, навіть якщо вони генеруються ботами.
Дізнатися, чи заражений комп’ютер, можна перевіривши список розширень, встановлених на ваш браузер Chrome. Список можна знайти, натиснувши у верхній правій частині браузера Налаштування і управління Google Chrome – Додаткові інструменти – Розширення (chrome://extensions/ )
Про зараження свідчить наявність розширень Teddy Protection і The Safe Surfing.