Киберпреступники превращают чужие ПК в скрытые майнинг-фермы — исследование «Лаборатории Касперского»
Трояны-майнеры тихо крадут вычислительные мощности — пока жертвы даже не подозревают, что их техника работает на чужой криптопрофит.
Как это работает? Вредоносное ПО проникает через фишинговые письма или уязвимости в софте, маскируясь под легитимные процессы. Антивирусы часто пропускают такие атаки — ведь майнеры не разрушают данные, а «всего лишь» используют ресурсы.
Финансовый подтекст: пока Уолл-стрит спорит о регулировании, хакеры уже монетизируют блокчейн по-своему — через чужие счета за электричество.
Кто такие Librarian Ghouls
Librarian Ghouls — хакерская группировка, которая, по словам специалистов «Касперского», имеет отношение к конфликту между Россией и Украиной. На это указывает выбор жертв — по большей части ими становятся пользователи из РФ и СНГ.
Эксперты называют Librarian Ghouls типичными хактивистами — они не разрабатывают собственные вирусы, а умело используют легальные программы. Злоумышленники также используют самораспаковывающиеся архивы с вредоносным кодом. С декабря 2024 года «Касперский» обнаружил уже более 100 модификаций их вредоносного ПО.
Как работает схема
Злоумышленники рассылают поддельные письма, маскируя их под официальные документы — например, платежные поручения. Жертва получает архив с якобы важным файлом. При его открытии на компьютер незаметно устанавливается вредоносное ПО.
Фейковое платежное поручение, которое рассылают хакеры. Источник: «Касперский»
Вместо того, чтобы создавать вирусы, хакеры спользуют легальные программы вроде AnyDesk (для удаленного доступа), WinRAR (для распаковки вредоносных файлов) и Blat (для отправки украденных данных). Из-за этого их трудно поймать — антивирусы часто автоматически доверяют проверенному софту. После заражения хакеры:
- Крадут пароли и данные криптокошельков — ищут файлы с названиями вроде wallet.dat, seed-фразы или keystore.json.
- Устанавливают майнер Monero (XMRig) — чтобы использовать мощности компьютера для добычи криптовалюты.
- Настраивают автоматическое выключение ПК — чтобы скрыть свою активность (каждый день в 5 утра система отключается).
Кто в зоне риска и как защититься
В основном хакеры нацелены на российские компании, особенно производственные фирмы и технические вузы. По данным специалистов, жертвами мошеннической схемы стали сотни пользователей из России. Кроме того, атаки также затронули пользователей из Беларуси и Казахстана.
Для того, чтобы не стать жертвой атаки Librarian Ghouls, не стоит открывать вложения в подозрительных письмах, даже если они выглядят обычно. Кроме того, нужно проверять отправителя — хакеры часто имитируют почту реальных организаций с некоторыми изменениями, например, меняют местами буквы или используют ноль вместо «О».
Специалисты также советуют регулярно обновлять ПО, поскольку многие уязвимости закрываются патчами, и использовать надежный антивирус. По словам экспертов, последний может заблокировать скрытую установку майнера.
Хотите стать частью большого и дружного сообщества BIC? Тогда подписывайтесь на нашу группу в «Телеграме» — там вас ждет общение с криптоэнтузиастами, помощь от наших экспертов и эксклюзивные комментарии опытных аналитиков.
