Malware zvaný Stantinko útočil doposud především v Rusku, Bělorusku a na Ukrajině. Podle bezpečnostních expertů je riziko nakažení tímto škodlivým kódem v České republice poměrně nízké, protože cílí především na rusky hovořící uživatele. Zcela vyloučit riziko útoku v tuzemsku samozřejmě ale nelze.

Jakmile je počítač infikován, nainstaluje dvě škodlivé služby v rámci operačního systému Windows, které se spouštějí při každém jeho startu. „Když ho ‚chytíte‘, je obtížné se ho zbavit, protože každá z obou služeb má schopnost znovu nainstalovat tu druhou. Aby uživatel problém plně eliminoval, musí vymazat ze svého počítače obě tyto služby současně,“ vysvětluje Frédéric Vachon, analytik společnosti Eset.

Zásuvné moduly pro Chrome

Konkrétně jsou nainstalovány dva zásuvné moduly – „The Safe Surfing“ a „Teddy Protection“. Oba jsou přitom běžně k dispozici ke stažení pro prohlížeč Google Chrome. „Během naší analýzy byly oba pluginy na internetu stále nabízeny,“ podotkl Marc-Etienne Léveillé, expert na výzkum malwaru ve společnosti Eset.

„Na první pohled vypadají jako legitimní rozšíření webového prohlížeče, a dokonce mají své internetové stránky. Pokud je však nainstaluje Stantinko, obdrží tato rozšíření odlišnou konfiguraci, která obsahuje příkazy na provádění podvodných kliknutí na reklamy a vkládání vlastního kódu do navštěvovaných webových stránek,“ konstatoval Léveillé.

S nakaženým počítačem si pak počítačoví piráti mohou dělat cokoliv, co chtějí. „To znamená například masivní anonymní vyhledávání stránek vytvořených pomocí nástrojů Joomla a WordPress, na něž následně provádějí tzv. brute force útoky s cílem vyhledání a odcizení dat, a mohou též vytvářet falešné účty na Facebooku,“ zdůraznil Vachon.

S napadeným počítačem tak mohou kyberzločinci provádět další útoky, ale stejně tak například vydělávat peníze na zobrazované reklamě, která by se jinak na počítači vůbec nezobrazovala.

Skrýval se dlouho

Zajímavé je především to, jak dlouho se podařilo malware Stantinko počítačovým pirátům skrývat před zraky bezpečnostních expertů a antivirových programů. Dosáhli toho tak, že škodlivá data ukrývali ve zdrojových kódech programů, které na první pohled vypadaly legitimně.

„Škodlivý kód využívá vyspělé techniky a je skryt buď zašifrovaný v souboru, nebo v registru Windows. Následně je dešifrován pomocí klíče, který se vygeneruje během prvotního napadení. Jeho škodlivé chování nelze detekovat, dokud ze svého řídicího serveru neobdrží nové komponenty, což komplikuje jeho odhalení,“ uzavřel Léveillé.

Stantinko se šíří internetem i nadále, majitelé většiny antivirových programů s aktualizovanou databází by však proti němu měli již být chráněni.