Sembra passato un secolo da quando i virus facevano danni tali che era impossibile ignorarne l’esistenza. Al giorno d’oggi, i malware se ne stanno tranquilli, al fine di rubare dati preziosi dai sistemi infettati, o di generare profitti per i cybercriminali che li hanno concepiti: proprio come nel caso di “Stantiko”, un virus di matrice russa che ha già infettato 500 mila computer!
Il virus in questione, scoperto dalla security house slovacca Eset, è di tipo modulare: in sostanza, è costituito da una parte non criptata, che non viene rilevata come malevola dagli antivirus, e da una seconda porzione di codice, infetto, che viene scaricata successivamente, per eseguire le azioni desiderate dagli hacker.
In questo caso, l’utente contrae il virus “Stantiko” dopo aver scaricato un programma piratato, o un file di tipo torrent (es. “FileTour”): a questo punto, l’elemento scaricato, aggirato l’antivirus della macchina locale, scarica di nascosto il malware il cui nome completo e tecnico è “Adstantinko”. Quest’ultimo, a sua volta, installa su Chrome, 2 estensioni (“Teddy Protection” e “The Safe Surfing” e ), che – apparentemente – sembrano progettate per tutelare la navigazione internet (contro i tracciamenti, le pubblicità, le intercettazioni, etc) e che – addirittura – sono dotate di un sito di riferimento.
Sono proprio queste due estensioni a fare il grosso del lavoro, in nome del virus “Stantiko”: in primis, sotto forma di banner indesiderati visualizzati durante la navigazione, con click generati verso questi ultimi, e – in seguito – operando delle ricerche anonime su Google, per far risultare un sito ben ricercato. Dulcis in fundo, i ricercatori di Eset hanno scoperto anche che tale virus è capace di creare nuovi account su Facebook, invitando amici, e ponendo like a foto, pagine, e profili (tutti obiettivi pubblicitari che possono essere acquistati secondo un preciso prezziario).
Questo, almeno secondo quello che è stato avvistato sinora: tra i plug-in disponibili per “Stantiko”, ne esistono anche di quelli che permettono di condurre, alla rete di PC compromessi, attacchi di tipo Brute-Force, basati su dizionari, e finalizzati al controllo di siti realizzati in Joomla o WordPress.
Disinstallare questo virus, tra l’altro, non è nemmeno molto facile: le due estensioni citate in precedenza attivano 2 servizi in background (“Plugin Download Service” e “Browser Extention Downloader”) i quali non fanno altro che proteggerle, in modo che appena ne venga disinstallata una, l’altra provveda a ripristinarla. Al momento, la probabile origine del virus sembra la Russia, visto che diversi moduli virali risultano ospitati sullo spazio cloud di Yandex, e le vittime sono per lo più circoscritte ai territori della ex URSS (Russia, Bielorussia, Ucraina, Kazakhstan). Attenzione, infine, Stantiko colpisce il sistema operativo Windows, tuttavia sono stati scovati anche file binari di Linux su alcuni dei server compromessi.