Zo'n 500.000 computers in voornamelijk Oekraïne en Rusland zijn besmet geraakt door geavanceerde adware die vijf jaar lang onopgemerkt wist te blijven. De adware wordt Stantinko genoemd en richt zich op internetgebruikers die illegale software zoeken. Zo doet de adware zich onder andere voor als een torrentbestand. Eenmaal gedownload en geopend door de gebruiker installeert Stantinko verschillende services.
Via deze services kunnen de beheerders achter het botnet kwaadaardige browser-extensies installeren die advertenties op bezochte websites injecteren en clickfraude plegen. De services zijn echter ook gebruikt voor het installeren van een volledig functionele backdoor, zo waarschuwt anti-virusbedrijf ESET. Ook een bot voor het uitvoeren van omvangrijke zoekopdrachten op Google en een tool voor het uitvoeren van bruteforce-aanvallen op Joomla en WordPress werden geïnstalleerd. Op deze manier werd geprobeerd om toegang tot websites te krijgen.
Verder installeert de adware ook een bot die accounts op Facebook aanmaakt en in staat is om foto's of pagina's te liken en vrienden kan toevoegen. De kwaadaardige browser-extensies die de adware installeert, genaamd The Safe Surfing en Teddy Protection, waren beide in de Chrome Web Store te vinden. Het lijkt om legitieme extensies te gaan. Eenmaal geïnstalleerd krijgen ze de instructies om advertenties te injecteren en clickfraude te plegen.
Om detectie en verwijdering te voorkomen gebruiken de makers methodes die voornamelijk bij 'advanced persistent threats' worden gezien aldus ESET. Zo hebben de ontwikkelaars veel moeite gedaan om reverse engineering tegen te gaan. Daarnaast is de adware lastig te verwijderen. Zodra één van de twee services wordt verwijderd zal de overblijvende service die opnieuw installeren. Om de adware succesvol te verwijderen moeten beide services gelijktijdig worden verwijderd. De twee Chrome-extensies zijn inmiddels uit de Chrome Store verwijderd.
Deze posting is gelocked. Reageren is niet meer mogelijk.