Эксперты по информационное безопасности обнаружили необычную кампанию по распространению майнера SilentCryptoMiner. Со сложной цепочкой заражения столкнулись пользователи в нескольких странах мира, в том числе в Беларуси, Индии, Узбекистане и Казахстане.
При этом наибольшая доля кибератак зафиксирована именно в России. Отличительной особенностью этой кампании является то, что злоумышленники использовали несколько необычных техник для обхода детектирования и закрепления в системах пользователей, в том числе установку агента SIEM-системы с открытым исходным кодом Wazuh. Специалисты отмечают, что вредоносная кампания остаётся актуальной на сегодняшний день.
SilentCryptoMiner — скрытый майнер с открытым исходным кодом, который использует мощности заражённого устройства для майнинга криптовалюты. В обнаруженной экспертами схеме речь шла о криптовалютах Monero и Zephyr. Атакующие распространяли SilentCryptoMiner через фальшивые сайты, где якобы можно было бесплатно скачать, например, uTorrent, MS Excel, MS Word, Minecraft, Discord. Злоумышленники также вели несколько Telegram-каналов для владельцев криптокошельков и пользователей читов. В них предлагалось скачать тематическое ПО, под видом которого на устройство человека попадал скрытый майнер. Помимо этого, зловред распространялся через YouTube — вместе с множеством англоязычных видео, опубликованных с различных аккаунтов, вероятно взломанных. В описании к роликам и в комментариях размещались ссылки на поддельные ресурсы.
Чтобы установить нужное ему приложение, пользователь должен был скачать ZIP-архив. В нём якобы было необходимое ПО. Внутри находился MSI-файл (для инсталляции приложений на Windows) и TXT-документ с паролем для установки программы и инструкцией. Стоит отметить, что до запуска программы рекомендовалось отключить антивирусное решение. При этом программу, которую человек искал, он не получал. Вместо неё на устройство устанавливалось вредоносное ПО.
В результате многоступенчатой цепочки заражения на устройство пользователя проникал вредоносный скрипт вместе с SilentCryptoMiner. Отличительной особенностью обнаруженной кампании являлось применение злоумышленниками агента SIEM (системы для мониторинга событий) Wazuh. Такая техника была нацелена на обход детектирования защитными решениями и на закрепление на устройствах пользователей. К тому же SIEM-система давала злоумышленникам возможность получить удалённый контроль над заражённым девайсом, собирать телеметрию и отправлять её на их командный сервер.
Используя зловред, который позволял атакующим установить на устройство жертвы майнер, злоумышленники также могли собирать информацию об имени компьютера и пользователя, версии и архитектуре ОС, названии процессора, данных о графическом процессоре и установленном антивирусном ПО. Эти данные отправлялись в Telegram-бот атакующих. Также некоторые модификации вредоносного ПО могли отправлять скриншот рабочего стола, другие — устанавливать расширение для браузера, позволяющее подменять криптокошельки.
Чтобы защититься от скрытого майнинга и других киберугроз, эксперты рекомендуют:
- скачивать приложения только из официальных источников (магазинов приложений или с сайтов компаний-разработчиков);
- использовать надёжное защитное решение, эффективность которого подтверждается независимыми тестовыми лабораториями, и ни в коем случае не отключать его при скачивании файлов.