Новая широкомасштабная кампания по распространению вредоносного ПО заражает пользователей криптомайнером под названием SilentCryptoMiner, выдавая его за инструмент для обхода интернет-блокировок в интернете.
По данным «Лаборатории Касперского», эта активность — часть более общей тенденции: киберпреступники всё чаще используют утилиты Windows Packet Divert (WPD) для маскировки вредоносного ПО, представляя его как программы для обхода блокировок.
«Подобное ПО обычно распространяется в виде архивов с текстовой инструкцией по установке, где разработчики рекомендуют отключить антивирус, ссылаясь на "ложные срабатывания"», — говорят исследователи. «Это играет на руку злоумышленникам, позволяя закрепиться в незащищённой системе без риска обнаружения».
Похожий подход применялся ранее для распространения стилеров, RAT (удалённых администраторских инструментов) и троянов, предоставляющих скрытый удалённый доступ, а также других криптомайнеров.
В новом случае выявлено, что более 2000 российских пользователей пострадали от вредоносной программы, замаскированной под софт для обхода блокировок на базе Deep Packet Inspection (DPI). Утверждается, что злоумышленники рекламировали этот «инструмент» через канал на YouTube с 60 000 подписчиков, размещая ссылку на архив с майнером в описании к роликам.
В ноябре 2024 года появилась информация о новой волне атак: злоумышленники начали выдавать себя за разработчиков подобных инструментов и присылать владельцам каналов фейковые уведомления о нарушении авторских прав. От них требовали разместить видео со ссылками на вредоносные файлы под угрозой блокировки канала.
«В декабре 2024 года пользователи сообщили о версии того же "инструмента" с майнером, распространявшейся через другие каналы в Telegram и YouTube, которые вскоре были закрыты», — рассказали в «Лаборатории Касперского».
Поддельные архивы содержат дополнительный исполняемый файл, а один из легитимных batch-скриптов модифицирован так, чтобы запускать этот файл через PowerShell. Если антивирус успевает обнаружить и удалить вредоносный файл, пользователю показывается ошибка с призывом повторно скачать архив, отключив средства защиты.
Запускаемый файл — это загрузчик на языке Python, который скачивает второй Python-скрипт, устанавливающий майнер и прописывающийся в системе для автозапуска. Перед этим вредонос проверяет, не запущен ли он в песочнице, и настраивает исключения в «Защитнике Windows».
В основе майнера лежит открытый проект XMRig, но сам файл «раздут» случайными блоками данных до 690 МБ, что усложняет автоматический анализ антивирусами.
Киберпреступники, нацелившись на пользователей, пытающихся обойти сетевые ограничения, маскируют майнер под полезные утилиты. Исследователи советуют относиться с осторожностью к программам, запрашивающим отключение антивируса, особенно если они распространяются в архивах со сторонних YouTube- или Telegram-каналов. Чтобы предотвратить заражение, необходимо регулярно обновлять антивирусное ПО и проверять целостность файлов, а в случае подозрительных рекомендаций (например, «отключите защиту, чтобы установить софт») лучше отказываться от установки.
Ещё по теме:
- McDonald’s внедрит ИИ в 43 000 ресторанах для оптимизации заказов
- Apple готовит «набитое функциями» обновление visionOS 3 в этом году
- Apple разрабатывает AirPods с камерами: будущее «умного» звука
