文 | 孙曜

网络安全公司ESET表示，Stantinko僵尸网络已将加密采矿功能添加到其犯罪活动中，他们正利用YouTube的描述文本代理分发加密采矿模块，该模块可开采隐私币门罗（Monero）。www.haobicaijing.com

网络安全公司ESET近期发布的一份报告（Stantinko Botnet Adds Cryptomining Criminal Activities）揭露，Stantinko僵尸网络的操纵者使用了一种新手段扩展他们的工具集，并在其控制的用户终端中分发了一个加密采矿模块，这个采矿模块可以用来挖掘门罗币（Monero）。报告指出至少自2018年8月以来，这种方式代替传统的点击欺诈，广告注入，社交网络欺诈和密码窃取，成为僵尸网络的主要获利功能。

Stantinko僵尸网络最初于2017年被发现（尽管自2012年以来一直秘密的运行），据报道已感染了全球超过50万台设备，主要针对俄罗斯，哈萨克斯坦，白俄罗斯和乌克兰的终端。ESET在报告中表示，Stantinko新模块的混淆方式阻碍了分析并避免了检测，由于源级混淆的使用具有一定的随机性，而且Stantinko的运算符会为每个新的受害者编译此模块，因此该模块的每个样本都是唯一的。所以目前追踪它的每个微小的改变都异常艰难。

ESET报道的Stantinko利用youtube挖掘门罗币事件与此前的Coinhive事件不同，Stantinko使用的采矿模块是xmr -stak开源矿机的高度修改版本，该模块通过挖掘加密货币来耗尽受感染机器的大部分资源。为了逃避检测，删除了所有不必要的字符串甚至整个功能。其余的字符串和函数被严重混淆。ESET安全产品将此恶意软件检测为Win {32,64} /CoinMiner.Stantinko。

CoinMiner.Stantinko不会直接采矿池通信，而是通过其IP地址从YouTube视频的描述文本中获取的代理进行通信。ESET表示银行恶意软件Casbaneiro使用了一种类似的技术来隐藏YouTube视频描述中的数据。Casbaneiro使用看起来更为合法的渠道和描述，但目的大致相同：存储加密的C＆Cs。

ESET表示已将黑客使用视频编码手段告知YouTube；包含这些视频的所有频道均已被删除。

>>>点击进入「火星技术帖」专题<<<