Le spécialiste en sécurité informatique Eset a étudié une menace complexe créée par une nouvelle souche de malware qui a touché jusqu’à présent 500.000 utilisateurs.

Dans son dernier livre blanc la société analyse le malware surnommé Stantinko et qualifié de très discret. Concrètement, ce dernier pousse ses victimes à télécharger un logiciel pirate à partir des faux sites torrents. Au cours des cinq dernières années, il s’est continuellement modifié pour éviter d’être démasqué.

Ciblant principalement des utilisateurs de langue russe, Stantinko est un réseau de bots qui se finance en installant des extensions aux navigateurs, qui injectent de fausses publicités lorsque l’on surfe sur le web. Une fois installé sur la machine, il peut effectuer des recherches massives sur Google de façon anonyme et créer de faux comptes sur Facebook capables de « liker » des illustrations, des pages et des amis

Une étude réalisée par White Ops et l’Association of National Advertisers estime que la fraude par click pourrait couter quelque 6,5 milliards de dollars aux entreprises aux USA en une seule année.

Des détails concernant les sites victimes des attaques en force brute peuvent également être vendus sur le marché souterrain après que ces sites aient été infectés par Stantinko, qui devine les mots de passe en utilisant des milliers d’identités différentes.

Ainsi, les opérateurs Stantinko disposent d’un outil qui leur permet de frauder sur Facebook, en vendant des « likes » afin d’attirer, de manière illégale, l’attention des consommateurs sans méfiance.

Les plugins The Safe Surfing et Teddy Protection sont capables d’injecter des publicités ou de rediriger les utilisateurs. « Ceci permet aux opérateurs Stantinko d’être payés pour le trafic qu’ils procurent à ces publicités. Nous avons même trouvé que des utilisateurs visitent directement le site des annonceurs par le biais de publicités appartenant à Stantinko », explique en guise de conclusion Matthieu Faou, chercheur malware chez ESET.

« La capacité de Stantinko à éviter la détection antivirus est due au fait qu’il se cache dans du code qui semble tout à fait légitime. Utilisant des techniques avancées, le code malveillant est caché ou chiffré dans un fichier ou le registre Windows. Il est alors décrypté en utilisant une clef générée lors de l’infection initiale. Son comportement malveillant ne peut être détecté avant qu’il ne reçoive de nouvelles composantes de son serveur de commande et de contrôle, ce qui le rend difficile à découvrir ».