Эксперты российской компании в сфере информационной безопасности, «Лаборатории Касперского», сообщили сегодня о том, что обнаружили необычную кампанию по распространению майнера SilentCryptoMiner. Со сложной цепочкой заражения столкнулись пользователи в нескольких странах мира, в том числе в Беларуси, Индии, Узбекистане и Казахстане. Но наибольшая доля кибератак зафиксирована в России.
Отличительной особенностью этой кампании является то, что злоумышленники использовали несколько необычных техник для обхода детектирования и закрепления в системах пользователей, в том числе установку агента SIEM-системы с открытым исходным кодом Wazuh. Специалисты отмечают, что вредоносная кампания остается актуальной и на сегодняшний день.
SilentCryptoMiner — скрытый майнер с открытым исходным кодом, который использует мощности зараженного устройства для майнинга криптовалюты. В обнаруженной экспертами схеме речь шла о криптовалютах Monero и Zephyr. Атакующие распространяли SilentCryptoMiner через фальшивые сайты, где якобы можно было бесплатно скачать, например, uTorrent, MS Excel, MS Word, Minecraft, Discord.
Злоумышленники также вели несколько Telegram-каналов для владельцев криптокошельков и пользователей читов. В них предлагалось скачать тематическое программное обеспечение, под видом которого на устройство человека попадал скрытый майнер. Помимо этого, зловред распространялся через YouTube — вместе с множеством англоязычных видео, опубликованных с различных аккаунтов, вероятно взломанных. В описании к роликам и в комментариях размещались ссылки на поддельные ресурсы.
Чтобы установить нужное ему приложение, пользователь должен был скачать ZIP-архив. В нем якобы было необходимое ПО. Внутри находился MSI-файл (для инсталляции приложений на Windows), и TXT-документ с паролем для установки программы и инструкцией. Стоит отметить, что до запуска программы рекомендовалось отключить антивирусное решение. При этом программу, которую человек искал, он не получал. Вместо неё на устройство устанавливалось вредоносное ПО.
В результате многоступенчатой цепочки заражения на устройство пользователя проникал вредоносный скрипт вместе с SilentCryptoMiner. Отличительной особенностью обнаруженной кампании являлось применение злоумышленниками агента SIEM (системы для мониторинга событий) Wazuh. Такая техника была нацелена на обход детектирования защитными решениями и на закрепление на устройствах пользователей. К тому же SIEM-система давала злоумышленникам возможность получить удаленный контроль над зараженным девайсом, собирать телеметрию и отправлять ее на их командный сервер.
Используя зловред, который позволял атакующим установить на устройство жертвы майнер, злоумышленники также могли собирать информацию об имени компьютера и пользователя, версии и архитектуре ОС, названии процессора, данных о графическом процессоре и установленном антивирусном ПО. Эти данные отправлялись в Telegram-бот атакующих. Также некоторые модификации вредоносного ПО могли отправлять скриншот рабочего стола, другие — устанавливать расширение для браузера, позволяющее подменять криптокошельки.
«Лаборатория Касперского» рассказала о финансовых зловредах.
Александр Кряжев, эксперт по кибербезопасности в «Лаборатории Касперского», прокомментировал: «Команда сменных вирусных аналитиков Лаборатории Касперского часто сталкивается с киберугрозами различного масштаба. Описанная кампания привлекла наше внимание в том числе из-за технической сложности. Атакующие ради свой цели — извлечения прибыли путем скрытого майнинга — использовали цепочку продвинутых техник. Одним из наиболее необычных элементов оказалось применение решения, которое обычно используется для защиты пользователей — агента SIEM-системы Wazuh».