В последние месяцы активизировалась вредоносная кампания, заражающая пользователей майнером SilentCryptoMiner, замаскированным под инструмент обхода блокировок.
По данным «Лаборатории Касперского», злоумышленники используют технологию Windows Packet Divert (WPD) для распространения вредоносного ПО. Они распространяют зараженные архивы с инструкциями, предлагая отключить антивирус под предлогом ложных срабатываний. Это позволяет скрывать вредоносные программы, включая стилеры, трояны и майнеры.
Кампания затронула более 2000 российских пользователей. Один из каналов заражения — YouTube-канал с 60 000 подписчиков, где распространялись ссылки на вредоносные архивы. Позже преступники начали шантажировать владельцев каналов, требуя размещения вредоносных ссылок под угрозой блокировки.
Зараженные архивы содержали измененный установочный скрипт, запускающий вредоносный код через PowerShell. Если антивирус удалял вредоносный файл, пользователю предлагалось отключить защиту и повторно скачать файл.
SilentCryptoMiner использует загрузчик на Python, проверяет среду выполнения, настраивает исключения в Защитнике Windows и загружает полезную нагрузку. Сам майнер основан на XMRig, его размер увеличен до 690 МБ для обхода антивирусов. Он внедряется в процесс dwm.exe и управляется удаленно.
«Лаборатория Касперского» зафиксировала более 2,4 млн случаев обнаружения драйверов WPD за последние полгода, что указывает на растущую популярность этой тактики среди киберпреступников.
Эксплойты Log4shell теперь используются для DDoS-ботнетов и криптомайнеров
