Новая угроза скрытого майнинга: хакеры атакуют российских пользователей и предприятия

Хакерская группа Librarian Ghouls, также известная под именем Rare Werewolf, смогла взломать десятки тысяч российских устройств для тайного майнинга криптовалюты. Это было сообщено специалистами «Лаборатории Касперского».

Злоумышленники проникли в системы через фишинговые сообщения, замаскированные под письма от настоящих организаций, которые выглядели, как официальные документы или платежные поручения.

После заражения системы вредоносным ПО хакеры устанавливают удаленное подключение и отключают защитные механизмы, такие как Защитник Windows. Они программируют устройство на автоматическое включение в час ночи и выключение в пять утра, что, по оценке «Лаборатории Касперского», помогает им оставаться незамеченными пользователем.

В это время они также крадут учетные данные. Прежде чем запустить майнер, злоумышленники собирают детали о системе, включая объем оперативной памяти, количество процессорных ядер и характеристики видеокарты. Это позволяет им оптимально настраивать программу для добычи криптовалюты. В процессе работы майнера хакеры поддерживают связь с пулом, отправляя запросы каждую минуту.

Эта кампания стартовала в декабре 2024 года и продолжается по сей день, охватив сотни российских пользователей, среди которых значительное количество промышленных предприятий и технических вузов. Отдельные случаи также были выявлены в Беларуси и Казахстане.

Происхождение хакерской группы остается неизвестным. Аналитики отметили, что фишинговые письма написаны на русском языке и содержат архивы с русскими названиями, а также документы-приманки, что указывает на нацеленность кампании на русскоязычную аудиторию или жителей России.

Эксперты предполагают, что Librarian Ghouls могут представлять собой хактивистов. Группа использует легальное стороннее программное обеспечение, вместо того чтобы создавать собственный вредоносный код, что является характерным признаком таких объединений. По информации другой компании, BI.ZONE, группировка Rare Werewolf активна как минимум с 2019 года.

Напомним, в декабре 2024 года аналитики «Лаборатории Касперского» сообщили о новом мошенническом схеме на YouTube.