150 фейковых сайтов и один архив с сюрпризом. Хакеры поставили добычу чужой крипты на промышленные рельсы
NewsMakerКупили мощную видеокарту? Злоумышленникам это точно понравится.
Microsoft предупредила о новой криптоджекинг-кампании, которая маскируется под популярные утилиты для мониторинга оборудования и разгона ПК. Злоумышленники делают ставку не на массовое заражение, а на владельцев мощных видеокарт, пригодных для добычи криптовалюты. Для распространения вредоносного ПО используют не только поддельные сайты в поисковой выдаче, но и ответы ИИ-чатботов, которые могут рекомендовать ссылки на заражённые ресурсы.
Специалисты Microsoft Defender выяснили, что атакующие создавали поддельные сайты CrystalDiskInfo, HWMonitor, FurMark, Display Driver Uninstaller, K-Lite Codec Pack и PDFgear. Пользователь скачивал ZIP-архив якобы с нужной программой, внутри которого находился легитимный файл и вредоносная библиотека autorun.dll. После запуска происходила скрытая загрузка дополнительных компонентов.
Кампания насчитывает более 150 доменов. Часть инфраструктуры размещалась через сервис динамического DNS Dynu. Аналитики также заметили следы переходов на вредоносные сайты из ИИ-сервисов. По данным VirusTotal, некоторые ссылки попадали в ответы чатботов при запросах на скачивание популярных программ.
После заражения вредонос устанавливал ScreenConnect , известный инструмент удалённого администрирования. Через него операторы получали постоянный доступ к системе и могли загружать новые модули. В Microsoft считают, что такой доступ потенциально позволяет не только запускать майнеры, но и проводить кражу данных, перемещаться по сети компании и разворачивать шифровальщики.
Следующим этапом становился запуск компонента SimpleRunPE.exe, который скрывал майнер внутри легитимных процессов Microsoft .NET. Для маскировки использовались InstallUtil.exe, MSBuild.exe, RegAsm.exe и другие системные утилиты. Вредонос также добавлял исключения в Microsoft Defender, проверял наличие виртуальных машин и инструментов анализа вроде Wireshark, IDA и Ghidra, а затем прекращал работу при обнаружении признаков анализа среды.
Для добычи криптовалюты злоумышленники применяли gminer, lolMiner и SRBMiner-MULTI. Вредонос отслеживал активность пользователя и загрузку GPU. Если владелец ПК запускал игру или тяжёлое приложение, майнер автоматически останавливался, чтобы не вызывать подозрений.
Microsoft сообщила, что встроенный Defender блокирует связанную с кампанией активность. Корпорация рекомендует включить облачную защиту, сетевую фильтрацию и правила сокращения поверхности атаки для защиты от подобных угроз.
Microsoft предупредила о новой криптоджекинг-кампании, которая маскируется под популярные утилиты для мониторинга оборудования и разгона ПК. Злоумышленники делают ставку не на массовое заражение, а на владельцев мощных видеокарт, пригодных для добычи криптовалюты. Для распространения вредоносного ПО используют не только поддельные сайты в поисковой выдаче, но и ответы ИИ-чатботов, которые могут рекомендовать ссылки на заражённые ресурсы.
Специалисты Microsoft Defender выяснили, что атакующие создавали поддельные сайты CrystalDiskInfo, HWMonitor, FurMark, Display Driver Uninstaller, K-Lite Codec Pack и PDFgear. Пользователь скачивал ZIP-архив якобы с нужной программой, внутри которого находился легитимный файл и вредоносная библиотека autorun.dll. После запуска происходила скрытая загрузка дополнительных компонентов.
Кампания насчитывает более 150 доменов. Часть инфраструктуры размещалась через сервис динамического DNS Dynu. Аналитики также заметили следы переходов на вредоносные сайты из ИИ-сервисов. По данным VirusTotal, некоторые ссылки попадали в ответы чатботов при запросах на скачивание популярных программ.
После заражения вредонос устанавливал ScreenConnect , известный инструмент удалённого администрирования. Через него операторы получали постоянный доступ к системе и могли загружать новые модули. В Microsoft считают, что такой доступ потенциально позволяет не только запускать майнеры, но и проводить кражу данных, перемещаться по сети компании и разворачивать шифровальщики.
Следующим этапом становился запуск компонента SimpleRunPE.exe, который скрывал майнер внутри легитимных процессов Microsoft .NET. Для маскировки использовались InstallUtil.exe, MSBuild.exe, RegAsm.exe и другие системные утилиты. Вредонос также добавлял исключения в Microsoft Defender, проверял наличие виртуальных машин и инструментов анализа вроде Wireshark, IDA и Ghidra, а затем прекращал работу при обнаружении признаков анализа среды.
Для добычи криптовалюты злоумышленники применяли gminer, lolMiner и SRBMiner-MULTI. Вредонос отслеживал активность пользователя и загрузку GPU. Если владелец ПК запускал игру или тяжёлое приложение, майнер автоматически останавливался, чтобы не вызывать подозрений.
Microsoft сообщила, что встроенный Defender блокирует связанную с кампанией активность. Корпорация рекомендует включить облачную защиту, сетевую фильтрацию и правила сокращения поверхности атаки для защиты от подобных угроз.