Росію накрила нова хвиля прихованого майнінгу

Хакерське угруповання Librarian Ghouls, також відоме як Rare Werewolf, зламало сотні російських пристроїв для прихованого майнінгу криптовалют. Про це повідомили фахівці “Лабораторії Касперського”.

Алгоритм зараження

Зловмисники отримали доступ до систем через фішингові листи. Вони замасковані під повідомлення від реальних організацій та виглядають як офіційні документи чи платіжні доручення.

Після зараження комп'ютера шкідливим програмним забезпеченням хакери встановлюють віддалене підключення і відключають захисні системи, включаючи Захисник Windows. Потім вони налаштовують пристрій на автоматичне включення о першій ночі і вимкнення о п'ятій ранку. За оцінкою “Лабораторії Касперського”, так зловмисники приховують свої дії від користувача.

У цей час вони також крадуть облікові дані. Перед запуском майнера зловмисники збирають інформацію про систему: обсяг оперативної пам'яті, кількість ядер процесора та дані про відеокарту. Це дозволяє їм оптимально налаштувати програму для видобутку криптовалюти. Під час роботи майнера хакери підтримують зв'язок із пулом, надсилаючи запити щохвилини.

Коли почалися атаки

Кампанія почалася у грудні 2024 року і продовжується досі. Постраждали сотні російських користувачів, переважно промислові підприємства та технічні вузи. Окремі випадки зафіксовано у Білорусі та Казахстані.

Походження групи не встановлено. Аналітики звернули увагу, що фішингові листи складені російською мовою, містять архіви з російськими назвами та документи-приманки. Це вказує на те, що метою кампанії, ймовірно, є російськомовні користувачі чи росіяни.

Фахівці припускають, що Librarian Ghouls можуть бути так званими хактивістами. Група використовує легальне програмне забезпечення замість розробки власного шкідливого коду — характерна риса подібних об'єднань. За даними іншої компанії, BI.ZONE, угруповання Rare Werewolf активне як мінімум з 2019 року.

Источник: cryptocurrency.tech