Эксперты «Лаборатории Касперского» выявили новую кампанию по распространению майнера SilentCryptoMiner, которая затронула пользователей в разных странах, включая Беларусь, Индию, Узбекистан и Казахстан.
Наибольшее количество атак зафиксировано в России. Злоумышленники применяют необычные техники для обхода систем безопасности, включая установку агента SIEM-системы Wazuh, что позволяет им закрепляться на устройствах пользователей.
SilentCryptoMiner — это скрытый майнер, использующий ресурсы заражённых устройств для добычи криптовалют, таких как Monero и Zephyr. Злоумышленники распространяли его через поддельные сайты, предлагая фальшивые версии популярных программ, таких как uTorrent и Discord. Также они использовали Telegram-каналы и видео на YouTube, в которых размещали ссылки на вредоносные ресурсы.
Чтобы установить поддельное приложение, пользователи должны были скачать ZIP-архив, содержащий MSI-файл и инструкции. При этом им рекомендовали отключить антивирус, и вместо искомой программы на устройство устанавливался майнер.
В результате многоступенчатого заражения на устройства попадал вредоносный скрипт, который использовал Wazuh для обхода защитных решений и удалённого контроля.
Злоумышленники получали информацию о системе, а также могли делать скриншоты рабочего стола и устанавливать расширения для подмены криптокошельков.
Команда «Лаборатории Касперского» отмечает, что использование Wazuh в качестве инструмента для атак является необычным и указывает на техническую сложность кампании. Продукты компании могут обнаруживать это вредоносное ПО с помощью различных сигнатур.
Чтобы защититься от скрытого майнинга и других угроз, эксперты рекомендуют загружать приложения только из официальных источников и использовать надежные антивирусные решения, не отключая их при загрузке файлов.