«Лаборатория Касперского» зафиксировала новую волну распространения майнера SilentCryptoMiner — вредоносного ПО, которое скрытно использует вычислительные ресурсы заражённого устройства для добычи криптовалюты. Если прежде злоумышленники размещали вредоносные файлы преимущественно на сайтах бесплатных онлайн-библиотек, то теперь атака распространилась на неофициальные площадки для просмотра и скачивания фильмов и сериалов. Суммарная аудитория затронутых ресурсов в апреле 2026 года достигла 40 миллионов визитов.
Схема заражения построена на технике подмены DLL — одном из классических приёмов сокрытия вредоносной активности. Пользователь скачивает ZIP-архив, внутри которого находятся два файла: легитимный исполняемый .exe и вредоносная DLL-библиотека с именем, которое операционная система воспринимает как приоритетное при загрузке зависимостей. Когда жертва запускает .exe, Windows по стандартному механизму поиска библиотек подгружает не оригинальный системный файл, а подброшенную злоумышленниками копию — и та выполняется уже в контексте доверенного процесса. Это позволяет вредоносному коду обходить ряд защитных механизмов, которые отслеживают поведение подозрительных процессов, а не доверенных исполняемых файлов.
В актуальной версии SilentCryptoMiner появился модуль удалённого управления устройством — функциональность, которой в ранних итерациях зловреда не было. Это принципиально расширяет возможности атакующих: помимо пассивной добычи криптовалюты они получают потенциальный доступ к заражённой машине, что открывает возможности для дальнейшего развития атаки — кражи данных, установки дополнительных компонентов или участия устройства в других вредоносных схемах.
По данным «Лаборатории Касперского», кампания ведётся как минимум с 2022 года. За это время злоумышленники неоднократно обновляли как само вредоносное ПО, так и механизмы его доставки. Константин Красильников, эксперт по кибербезопасности компании, отмечает, что расширение каналов распространения, по всей видимости, продолжится — пиратские ресурсы остаются удобной площадкой для подобных атак именно в силу своей массовости и отсутствия модерации контента.
Продукты «Лаборатории Касперского» детектируют SilentCryptoMiner по вердиктам HEUR:Trojan.Win64.DllHijack.gen и MEM:Trojan.Win32.SEPEH.gen.
