Хакерская группировка Librarian Ghouls, также известная как Rare Werewolf, взломала сотни российских устройств для скрытого майнинга криптовалют. Об этом сообщили специалисты «Лаборатории Касперского».
Алгоритм заражения
Злоумышленники получили доступ к системам через фишинговые письма. Они замаскированы под сообщения от реальных организаций и выглядят как официальные документы или платежные поручения.
После заражения компьютера вредоносным ПО хакеры устанавливают удаленное подключение и отключают защитные системы, включая Защитник Windows. Затем они настраивают устройство на автоматическое включение в час ночи и выключение в пять утра. По оценке «Лаборатории Касперского», так злоумышленники скрывают свои действия от пользователя.
В этот промежуток времени они также крадут учетные данные. Перед запуском майнера злоумышленники собирают информацию о системе: объем оперативной памяти, количество ядер процессора и данные о видеокарте. Это позволяет им оптимально настроить программу для добычи криптовалюты. Во время работы майнера хакеры поддерживают связь с пулом, отправляя запросы каждую минуту.
Когда начались атаки
Кампания началась в декабре 2024 года и продолжается до сих пор. Пострадали сотни российских пользователей, в основном промышленные предприятия и технические вузы. Отдельные случаи зафиксированы в Беларуси и Казахстане.
Происхождение группы не установлено. Аналитики обратили внимание, что фишинговые письма составлены на русском языке, содержат архивы с русскими названиями и документы-приманки. Это указывает на то, что целью кампании, вероятно, являются русскоязычные пользователи или жители России.
Специалисты предполагают, что Librarian Ghouls могут быть так называемыми хактивистами. Группа использует легальное стороннее программное обеспечение вместо разработки собственного вредоносного кода — характерная черта подобных объединений. По данным другой компании, BI.ZONE, группировка Rare Werewolf активна как минимум с 2019 года.
