По меньшей мере 28 тыс. пользователей стали жертвами киберпреступников. Злоумышленники распространяли архивы с трояном, который маскировался под меню «Пуск». Вирус использует компьютер пользователя для майнинга или же крадет цифровые сбережения, в том числе с криптокошельков.
Александр Куманев
Киберпреступники распространяют вредоносное ПО для майнинга и кражи криптовалюты через GitHub (запрещено правилами площадки) и YouTube, используя в качестве приманки офисные программы, читы и боты для трейдинга, сообщают специалисты Dr.Web.
Злоумышленники распространяют самораспаковывающиеся архивы с паролем, чтобы предотвратить автоматическое сканирование.
В конечном итоге троян маскируется под системный компонент ОС Windows, которые выступают в качестве триггеров. Один из них — меню «Пуск» (StartMenuExperienceHost.exe). При нажатии активируются два процесса: легитимный и вредоносный.
Подробнее о кибератаке
После распаковки запускается многоступенчатая атака, включающая подмену системных файлов, обфускацию кода и использование сетевой утилиты Ncat для загрузки дополнительных вредоносных компонентов. Вирус использует технику IFEO для запуска вместе с доверенными программами, в том числе системными службами, а также внедряет вредоносные DLL в процесс explorer.exe с помощью Process Hollowing. Один из компонентов маскируется под легитимный процесс StartMenuExperienceHost.exe.
Для скрытого майнинга, кражи криптовалют, в том числе для подмены номера кошелька в буфере обмена, задействованы файлы, встраивающиеся в процесс explorer.exe — Проводник в ОС Windows. Майнер злоумышленников обладает обширными возможностями настройки и маскировки процессов, а среди его функций присутствует удаленное управление.
«Всего от действий киберпреступников пострадало более 28 тысяч человек, превалирующее большинство из которых являются жителями России. Также, значимые цифры заражений наблюдаются в Беларуси, Узбекистане, Казахстане, Украине, Кыргызстане и Турции», — рассказали специалисты компании «Доктор Веб».
Эксперты подчеркнули, что злоумышленники пытаются распространить архивы с вредоносным содержимым, предлагая скачать пиратские версии популярных программ. Специалисты советуют скачивать ПО из официальных источников, использовать программы-аналоги с открытым исходным кодом, а также не забывать об антивирусе.
Хакерская атака на ВГТРК: интернет-сервисы холдинга недоступны несколько часов
Читайте также:
Сначала взрывались пейджеры, теперь — рации. Стоит ли беспокоиться за смартфоны?
DDoS-атака или блокировка: почему Телеграм лег дважды за сутки
Хакеры взломали сотни тг-каналов, чтобы разместить призывы к миру на Украине
Ссылка на статью: https://newizv.ru/news/2024-10-13/hakery-spryatali-troyan-v-menyu-pusk-zarazheny-tysyachi-kompyuterov-433745
