Riesiges Botnetz aufgeflogen: "Stantinko" hat 500.000 Computer im Griff

Sicherheitsforscher entdecken ein Botnetz, das mehr als 500.000 Computer kontrolliert. Es wird seit über fünf Jahren von einem sehr anpassungsfähigen Trojaner gespannt, der Nutzer mit Gratis-Software in die Falle lockt.

Forscher des Sicherheitsunternehmens ESET haben ein riesiges Botnetz analysiert. Es umfasst weltweit über eine halbe Million Windows-Computer und wird von einer "Stantinko" getauften Malware gespannt. Die meisten seiner Zombie-Rechner wurden bisher in der Ukraine und Russland ausfindig gemacht. Der Trojaner sei komplex und extrem anpassungsfähig, heißt es in einem Blogeintrag. So habe er es geschafft, mehr als fünf Jahre nahezu unentdeckt zu agieren.

"Stantinko" verbreitet sich über Software-Raubkopien, die Hacker unter anderem in diversen Tauschbörsen anbieten. Installiert ein Nutzer die verseuchte Software, platziert die Malware auffällig mehrere andere Programme. Diese sind unwichtig, sie sollen lediglich davon ablenken, dass der eigentliche Download-Trojaner heimlich im Hintergrund installiert wird.

Für Antivirus-Programme ist "Stantinko" nur schwer zu erkennen und zu entfernen, da er nicht nur aus einer Komponente besteht. So versteckt sich der eigentliche Schadcode verschlüsselt auf der Festplatte oder in der Windows-Registrierungsdatenbank (Registry). Erst wenn er von einer harmlos aussehenden ausführbaren Datei geladen und entschlüsselt wird, legt er los. Außerdem hat der Trojaner ESET zufolge einen "mächtigen Überlebensmechanismus". Beim Angriff werden zwei verschiedene schädliche Windows-Dienste installiert. Wird eine entdeckt und gelöscht, kann sie die andere wiederherstellen. Um "Stantinko" loszuwerden, müssen daher beide Dienste entfernt werden.

Klickbetrug lohnt sich

Geld verdienen die Hacker vor allem, indem der Schädling bösartige Chrome-Browsererweiterungen installiert. Sie tarnen sich als Türsteher gegen ungewollte Werbung und gefährliche Webseiten. Tatsächlich tun sie aber das genaue Gegenteil. Sie injizieren Werbung oder leiten Nutzer zu Anzeigen um, wofür die Gangster Provision kassieren. Laut ESET ist dies ein einträgliches Geschäft, weltweit sollen sich die Kosten für Klickbetrug alleine 2017 auf 6,5 Milliarden Dollar belaufen.

Die Gangster haben ein auch ein Plugin entwickelt, das mit Facebook interagieren kann. Unter anderem ist es dazu in der Lage, Accounts zu erstellen, Seiten zu liken oder Freunde hinzuzufügen. Die Anfragen werden dabei auf die vielen Zombie-Computer des Botnetzes aufgeteilt, sodass Facebook den Betrug nur sehr schwer erkennen kann. Die Funktion, bei der durch zusätzliche Eingabe eines angezeigten Codes verhindert werden soll, dass sich Maschinen für Menschen ausgeben, hebelt "Stantinko" einfach durch einen allgemein zugänglichen Anti-CAPTCHA-Dienst aus. Das Botnetz wird außerdem für Brute-Force-Attacken auf Joomla- und Wordpress-Accounts genutzt. Erbeutete Zugangsdaten verkaufen die Strippenzieher auf dem Schwarzmarkt.

Quelle: n-tv.de