«Лаборатория Касперского» обнаружила продвинутые атаки SilentCryptoMiner
Эксперты «Лаборатории Касперского» обнаружили необычную кампанию по распространению майнера SilentCryptoMiner. Со сложной цепочкой заражения столкнулись пользователи в нескольких странах мира, в том числе в Беларуси, Индии, Узбекистане и Казахстане.
Наибольшая доля кибератак зафиксирована в России. Отличительной особенностью этой кампании является то, что злоумышленники использовали несколько необычных техник для обхода детектирования и закрепления в системах пользователей, в том числе установку агента SIEM-системы с открытым исходным кодом Wazuh. Специалисты отмечают, что вредоносная кампания остаётся актуальной на сегодняшний день.
Эксперты компании поясняют, что SilentCryptoMiner — скрытый майнер с открытым исходным кодом, который использует мощности заражённого устройства для майнинга криптовалюты. В обнаруженной схеме речь шла о криптовалютах Monero и Zephyr. Атакующие распространяли SilentCryptoMiner через фальшивые сайты, где якобы можно было бесплатно скачать, например, uTorrent, MS Excel, MS Word, Minecraft, Discord.
Злоумышленники также вели несколько Telegram-каналов для владельцев криптокошельков и пользователей читов. В них предлагалось скачать тематическое ПО, под видом которого на устройство человека попадал скрытый майнер. Помимо этого, зловред распространялся через YouTube — вместе с множеством англоязычных видео, опубликованных с различных аккаунтов, вероятно взломанных. В описании к роликам и в комментариях размещались ссылки на поддельные ресурсы.
Чтобы установить нужное ему приложение, пользователь должен был скачать ZIP-архив. В нём якобы было необходимое ПО. Внутри находился MSI-файл (для инсталляции приложений на Windows), и TXT-документ с паролем для установки программы и инструкцией. До запуска программы рекомендовалось отключить антивирусное решение. При этом программу, которую человек искал, он не получал. Вместо неё на устройство устанавливалось вредоносное ПО.
В результате многоступенчатой цепочки заражения на устройство пользователя проникал вредоносный скрипт вместе с SilentCryptoMiner. Отличительной особенностью обнаруженной кампании являлось применение злоумышленниками агента SIEM (системы для мониторинга событий) Wazuh. Такая техника была нацелена на обход детектирования защитными решениями и на закрепление на устройствах пользователей. К тому же SIEM-система давала злоумышленникам возможность получить удалённый контроль над заражённым девайсом, собирать телеметрию и отправлять её на их командный сервер.
Используя зловред, который позволял атакующим установить на устройство жертвы майнер, злоумышленники также могли собирать информацию об имени компьютера и пользователя, версии и архитектуре ОС, названии процессора, данных о графическом процессоре и установленном антивирусном ПО. Эти данные отправлялись в Telegram-бот атакующих. Также некоторые модификации вредоносного ПО могли отправлять скриншот рабочего стола, другие — устанавливать расширение для браузера, позволяющее подменять криптокошельки.
«Команда сменных вирусных аналитиков „Лаборатории Касперского” часто сталкивается с киберугрозами различного масштаба. Описанная кампания привлекла наше внимание в том числе из-за технической сложности. Атакующие ради своей цели — извлечения прибыли путём скрытого майнинга — использовали цепочку продвинутых техник. Одним из наиболее необычных элементов оказалось применение решения, которое обычно используется для защиты пользователей — агента SIEM-системы Wazuh», — комментирует Александр Кряжев, эксперт по кибербезопасности в «Лаборатории Касперского».
Новостная лента
Видео
Струнный квартет имени Комитаса отмечает 100-летие
