SilentCryptoMiner заражает 2000 пользователей из России через поддельные инструменты DPI

По России прокатилась новая волна кибератак: злоумышленники внедряют так называемый SilentCryptoMiner – криптовалютный майнер, маскирующийся под легитимный инструмент для обхода Интернета.

Более 2 000 пользователей были заражены через безобидные на первый взгляд архивы и инструкции по установке, которые призывают жертв отключить защитное программное обеспечение, подвергая их системы скрытой угрозе.

Маскируется под легитимный инструмент обхода

Криптомайнер использует потребность россиян к использованию DPI и VPN для обхода блокировок в Интернете. Злоумышленники упаковывают SilentCryptoMiner в архивы, рекламируемые как утилиты для обхода проверки пакетов (DPI).

Распространяясь через популярные каналы YouTube, насчитывающие 60 000 подписчиков, эти вредоносные файлы заманивают ничего не подозревающих пользователей, заставляя их поверить, что они загружают безопасный инструмент, предназначенный для борьбы с интернет-блокировками. На самом деле архив содержит загрузчик на базе Python, который в конечном итоге извлекает полезную нагрузку – майнера.

Методология атак и тактика уклонения

По мнению исследователей кибербезопасности из Kaspersky, вредоносная программа использует инструменты Windows Packet Divert – технику, которая все чаще используется для распространения вредоносного ПО под видом полезных программ.

Хакеры идут дальше и просят жертв отключить антивирусные программы, ссылаясь на ложные срабатывания, что только укрепляет позиции злоумышленников в системе. После выполнения загрузчик проверяет наличие среды «песочницы» и настраивает исключения Windows Defender перед запуском майнера.

Сама полезная нагрузка, основанная на майнере с открытым исходным кодом XMRig, заполнена случайными данными и достигает раздутого размера в 690 МБ, что затрудняет автоматический анализ обычными антивирусными инструментами. Кроме того, благодаря использованию техники «встраивания» процессов для внедрения кода майнера в легитимные системные процессы, такие как dwm.exe, вредоносная программа остается незаметной и управляется удаленно через веб-панель.

Последствия и более широкая угроза кибербезопасности

Эта кампания является примером технической изобретательности и тревожным индикатором эволюции стратегий киберпреступников. Помимо кражи криптовалюты, такие атаки могут проложить путь к дальнейшей эксплуатации, включая развертывание инструментов удаленного доступа (RAT) и распространение программ шифровальзиков. Метод выдачи себя за доверенных разработчиков для манипулирования создателями контента еще раз демонстрирует многоуровневый обман, используемый этими субъектами.

Почему это должно волновать организации

Организации всех размеров и отраслей должны обратить внимание. Эта атака подчеркивает острую необходимость в надежной гигиене кибербезопасности, особенно в мониторинге и фильтрации загрузок из ненадежных источников.

Крайне важно информировать сотрудников об опасности отключения защитного программного обеспечения и внимательно изучать инструкции по установке нежелательных программ. Инцидент с SilentCryptoMiner подчеркивает, что киберугрозы больше не ограничиваются целенаправленными атаками, а могут возникать в результате обычной деятельности, что требует постоянной бдительности и мер проактивной защиты.

Подробнее