Эксперты «Лаборатории Касперского» обнаружили необычную кампанию по распространению майнера SilentCryptoMiner.
Со трудной цепочкой заражения столкнулись пользователи в нескольких странах мира, в том числе в Беларуси, Индии, Узбекистане и Казахстане. Наибольшая доля кибератак зафиксирована в России. Характерной особенностью этой кампании будет то, что преступники использовали несколько необычных техник для обхода детектирования и закрепления в системах пользователей, в том числе установку агента SIEM-системы с открытым исходным кодом Wazuh. Профессионалы отмечают, что вредоносная кампания остаётся актуальной на сегодняшний день.
SilentCryptoMiner - скрытый майнер с открытым исходным кодом, который использует мощности заражённого устройства для майнинга криптовалюты. В обнаруженной знатоками схеме речь шла о криптовалютах Monero и Zephyr. Нападающие распространяли SilentCryptoMiner через неправильные сайты, где якобы можно было бесплатно скачать, например, uTorrent, MS Excel, MS Word, Minecraft, Discord. Злоумышленники также вели несколько Telegram-каналов для владельцев криптокошельков и пользователей читов. Внутри них предлагалось скачать тематическое ПО, маскируясь под которого на устройство человека попадал скрытый майнер. Кроме этого, зловред распространялся через YouTube - вместе с обилием англоязычных видео, опубликованных с разных аккаунтов, вероятно взломанных. В описании к роликам и в комментариях размещались ссылки на фальшивые ресурсы.
Чтобы установить нужное ему приложение, пользователь взял на себя обязательства скачать ZIP-архив. В нём якобы было необходимое ПО. Внутри находился MSI-файл (для инсталляции приложений на Windows) и TXT-документ с требованием пароля для установки программы и инструкцией. Следует выделить, что до запуска программы рекомендовалось отключить антивирусное решение. При этом программу, которую человек отыскивал, он не получал. Вместо неё на устройство устанавливалось вредоносное ПО.
На входах многоступенчатой цепочки заражения на устройство пользователя проникал вредоносный скрипт вместе с SilentCryptoMiner. Характерной особенностью обнаруженной кампании являлось применение злодеями агента SIEM (системы для мониторинга событий) Wazuh. Такая техника была нацелена на обход детектирования защитными решениями и на закрепление на устройствах пользователей. К такому же SIEM-система давала злоумышленникам возможность получить удалённый контроль над заражённым девайсом, собирать телеметрию и отправлять её на их командный сервер.
Используя зловред, который позволял нападающим установить на устройство жертвы майнер, преступники также могли собирать информацию об имени компьютера и пользователя, версии и архитектуре ОС, наименованьи процессора, данных о графическом процессоре и установленном антивирусном ПО. Эти данные отправлялись в Telegram-бот нападающих. Также некоторые модификации вредоносного ПО могли отправлять скриншот рабочего стола, иные - устанавливать расширение для браузера, позволяющее заменять криптокошельки.
«Команда сменных вирусных аналитиков "Лаборатории Касперского" неоднократно сталкивается с киберугрозами разного масштаба. Описанная кампания привлекла наше внимание в том числе из-за технической сложности. Нападающие ради свой цели - извлечения прибыли маршрутом скрытого майнинга - использовали цепочку продвинутых техник. Одним из наиболее необычных элементов оказалось применение решения, которое чаще всего используется для защиты пользователей, - агента SIEM-системы Wazuh», - объясняет эксперт по кибербезопасности в «Лаборатории Касперского» Александр Кряжев.
Фото: Freepik