Le botnet Stantinko fait désormais du cryptojacking et mine la cryptomonnaie Monero grâce à Youtube
Par Eric Martin 
La société ESET spécialisée en cybersécurité a publié un rapport détaillé le 26 novembre 2019 mettant en avant le fait que le botnet Stantinko s’est mis au minage illégal de cryptomonnaie Monero XMR sur les ordinateurs infectés par ce virus.
Un botnet est un ensemble d’ordinateurs infectés par un programme qui utilise les ressources des ordinateurs pour diverses utilisations dont le cryptojacking qui consiste donc à miner de la cryptomonnaie sur les ordinateurs zombies.
Les botnets célèbres récents sont Conficker, Zeus, Waledac, Mariposa ou Kelihos.
Le botnet Stantinko est connu depuis 2012 et toucherait environ 500 000 ordinateurs principalement en Russie, Kazakhstan, Biélorussie et en Ukraine.
Auparavant il se concentrait sur tout ce qui était attaque sur mots de passe utilisateurs, réseau social, etc …
Désormais, le botnet fait du minage de Monero XMR sur les ordinateurs des victimes en utilisant notamment Youtube pour dissimuler son activité.
Les pirates informatiques et hackers sont toujours plus malins et ont trouvé l’idée de camoufler leur activité de minage de cryptomonnaie illégale en utilisant les pages et les descriptions des vidéos Youtube.
Le module de minage utilisé par le botnet Stantinko est une version modifiée du célèbre cryptominer open-source xmr-stak qui est utilisé dans le minage de Monero XMR ou la cryptomonnaie Safex Cash (une fork de Monero).
Les pirates informatiques ont supprimé toutes les fonctions ou modules inutiles sur xmr-stak pour ne pas être détectés par les anti-virus.
Le mineur de Monero de Stantinko utilise donc Youtube pour se cacher comme l’indique le rapport de la société de cybersécurité ESET:
« CoinMiner.Stantinko ne communique pas directement avec son pool d’extraction mais via des proxies dont les adresses IP sont acquises à partir du texte de description des vidéos YouTube.
Une technique similaire permettant de masquer les données dans les descriptions de vidéos YouTube est celle utilisée par le logiciel bancaire malveillant Casbaneiro.
Casbaneiro utilise des canaux et des descriptions beaucoup plus légitimes mais dans le même but: stocker des C&C cryptés. »
Un autre élément qui rend la détection du botnet Stantinko difficile est le fait que les pirates compilent chaque module spécifiquement pour chaque victime du piratage de son ordinateur:
«En raison de l’usage d’obscurcissements au niveau de la source avec un grain d’aléatoire et du fait que les opérateurs de Stantinko compilent ce module pour chaque nouvelle victime, chaque échantillon du module est unique.»
La société de cybersécurité ESET déclare avoir contacté YouTube afin de lui signaler ce botnet qui utilise ses pages et le streaming vidéo pour dissimuler ses activités, Youtube aurait depuis supprimé les pages concernées.
Des pirates informatiques toujours plus rusés et malins comme nous l’avons vu dans d’autres articles avec l’exemple du minage de cryptomonnaie dissimulé dans des fichiers audio Wave ou dans des plugins WordPress.
Plus récemment, un gamer connu a vu sa chaîne Youtube prise en otage par des hackers qui y diffusaient une conférence Ripple XRP afin de piéger les abonnés à la chaîne de ce Youtuber avec des arnaques crypto ou Bitcoin.
Les pirates minent la crypto monnaie Monero XMR du fait qu’elle est intraçable, un privacy coin très utilisé sur le darknet notamment.
Le site Monero.org qui a été lui-même piraté par des hackers l’autre jour et qui avaient placé des malwares sur le site afin de voler la cryptomonnaie Monero XMR des utilisateurs, une victime aurait perdu 7000 dollars ce jour-là suite à ce hacking du site Monero.
