Атакующие маскируют зловред под средства для обхода блокировок, с новой кампанией столкнулись уже более 2 тысяч пользователей в России
Команда Kaspersky GReAT (Глобального центра исследований и анализа угроз «Лаборатории Касперского») обнаружила активную кампанию по распространению скрытого майнера для ПК под видом инструментов для обхода блокировок, основанных на глубоком анализе трафика (DPI). В своей схеме злоумышленники используют YouTube-блогеров с подходящей тематикой, обманом вынуждая публиковать ссылки на заражённые архивы. Атакующих интересуют только российские пользователи. По данным компании*, со зловредными файлами столкнулись уже больше двух тысяч человек, однако их реальное число может быть гораздо выше.
YouTube-блогеры. Одним из векторов распространения зловредов в рамках обнаруженной кампании стали каналы YouTube-блогеров. Один из них, с аудиторией в 60 тысяч подписчиков, опубликовал несколько роликов с инструкцией по обходу блокировок. Вероятно, с ним связались злоумышленники и с помощью шантажа убедили его добавить в описание к сюжетам ссылку якобы на соответствующие инструменты, которые хранятся на GitHub. Однако на самом деле по ссылке располагался заражённый архив. В общей сложности выпуски собрали более 400 тысяч просмотров. При этом позднее ссылка была удалена. Согласно счётчику на вредоносном сайте, на момент исследования архив был скачан как минимум 40 тысяч раз.
Шантаж. В обсуждениях на репозитории эксперты обнаружили рассказы пользователей о новой схеме шантажа: злоумышленники отправляли блогерам жалобы на видео, в котором объяснялось, как пользоваться инструментами для обхода блокировок. Атакующие делали это от имени якобы разработчиков этих инструментов. Затем злоумышленники шантажировали создателей контента удалением YouTube-канала под предлогом нарушения авторских прав, требуя в обмен на «помощь» опубликовать ролики с определёнными ссылками. Возможно, блогеры не знали, что распространяют таким образом ссылки на зловредные файлы.
SilentCryptoMiner. Если человек скачивал архив с сайта по ссылке, на его устройство, вместе с заявленными инструментами, устанавливался троянец. Он загружал SilentCryptoMiner — скрытый майнер, который использует мощности заражённых компьютеров для получения разных видов криптовалюты.
«Видеоблогеры — не единственный вектор распространения SilentCryptoMiner в обнаруженной кампании. Мы также видели теневой канал в мессенджере, где была вредоносная сборка, на него ссылался YouTube-канал с 340 тысячами подписчиков. Не исключаем, что аналогичные схемы могут использоваться для распространения и других видов зловредов, не только майнера, — комментирует Леонид Безвершенко, эксперт Kaspersky GReAT. — Если антивирус на ПК жертвы удалял вредоносный файл, её убеждали отключить защиту. Нельзя следовать таким инструкциям, наоборот — крайне важно использовать защитные решения, которые вовремя распознают угрозу. Не стоит пытаться скачивать программы с непроверенных ресурсов, они могут представлять серьёзную опасность для безопасности устройств пользователя».
Решения «Лаборатории Касперского» защищают пользователей от вредоносных программ, которые используются в рамках обнаруженной кампании.
* Данные на основе анонимизированной статистики срабатывания решений «Лаборатории Касперского» с 1 ноября 2024 года по 27 февраля 2025 года.
