Специалисты по кибербезопасности из «Лаборатории Касперского» выявили масштабную вредоносную кампанию, нацеленную на российских пользователей. Злоумышленники распространяют криптовалютный майнер SilentCryptoMiner, маскируя его под легитимные инструменты для обхода DPI-блокировок. Особенность атаки заключается в принуждении YouTube-блогеров к распространению вредоносного ПО путем шантажа.
Механизм распространения и масштаб атаки
По данным исследователей, кампания уже затронула более 2000 пользователей, хотя реальное число жертв может быть значительно выше. Злоумышленники целенаправленно атакуют российскую аудиторию, что подтверждается техническими особенностями малвари – вредоносная нагрузка доступна только с российских IP-адресов.
Тактика принуждения блогеров
Преступники используют изощренную схему шантажа YouTube-блогеров. Они рассылают фальшивые жалобы на нарушение авторских прав от имени разработчиков программного обеспечения для обхода блокировок. Под угрозой удаления канала блогеров вынуждают размещать ссылки на зараженные архивы. Один из пострадавших каналов с аудиторией в 60 000 подписчиков собрал более 400 000 просмотров на видео с вредоносными ссылками.
Технические особенности SilentCryptoMiner
Вредоносное ПО демонстрирует высокий уровень технической сложности и использует ряд продвинутых механизмов для избежания обнаружения:
- Применение техники process hollowing для внедрения в системные процессы
- Автоматическая приостановка майнинга при запуске определенных программ
- Возможность удаленного управления через веб-панель
- Майнинг различных криптовалют: ETH, ETC, XMR, RTM
Методы социальной инженерии
При обнаружении вредоносного ПО антивирусным программным обеспечением, малварь пытается убедить пользователя отключить защиту, выводя сообщение: «Файл не найден, отключите все антивирусы и перекачайте файл, поможет!». Эта тактика социальной инженерии направлена на компрометацию системы безопасности пользователя.
Эксперты по кибербезопасности настоятельно рекомендуют не отключать антивирусное ПО и избегать загрузки программ из непроверенных источников. Существует высокая вероятность использования подобных схем распространения для других типов вредоносного ПО. Пользователям следует проявлять повышенную бдительность при работе с инструментами обхода блокировок и всегда использовать надежные средства защиты.
