SecAtor

Исследователи из Лаборатории Касперского раскрывают новую массовую вредоносную кампанию, нацеленную на пользователей YouTube с использованием майнера SilentCryptoMiner под видом инструментов Windows Packet Divert (WPD).

Авторы контента на YouTube, ориентированного на пользователей WPD, достаточно часто публикуют обучающие и рекламные материалы в отношении различных инструментов WPD, позволяющих обходить ограничения на веб-сайты и онлайн-сервисы.

Выдавая себя за владельцев указаных WPD киберпреступники рассылают поддельные заявления о нарушении авторских прав, заставляя получателей продвигать вредоносное ПО и майнеры крипты в своих роликах.

Угрожая страйками и блокировкой злоумышленники предлагают владельцам каналов компромиссное решение, предоставляя актуальные ссылки для загрузки, которые рекомендуется разместить в ролике взамен предыдущей.

В других случаях злоумышленники связываются с создателем напрямую, выдавая себя за разработчиков инструмента и утверждая, что у оригинального инструмента теперь новая версия или новая ссылка для загрузки, и просят создателя изменить ее в своем видео.

Опасаясь утратить свои каналы, авторы идут навстречу злоумышленникам и добавляют в свои видео предлагаемые ссылки на репозитории GitHub, где якобы размещены упомянутые WPD.

Однако это троянизированные версии, которые включают загрузчик криптомайнера.

Исследователи ЛК отмечают, что подобная реклама WPD была замечена на YouTube в видеоролике, который собрал более 400 000 просмотров, а вредоносная ссылка была загружена 40 000 раз.

Кроме того, ТГ-канал с 340 тыс. подписчиками также продвигал вредоносное ПО под тем же соусом.

По данным телеметрии ЛК, вредоносная кампания затронула более 2000 жертв в России, но общее число может быть гораздо выше.

Вредоносный архив, загруженный из репозиториев GitHub, содержит загрузчик вредоносного ПО на основе Python, который запускается с помощью PowerShell через измененный скрипт запуска (general.bat).

Если антивирус жертвы завершает этот процесс, стартовый скрипт выдает сообщение об ошибке «файл не найден», предлагая пользователю отключить антивирус и повторно загрузить файл.

Исполняемый файл извлекает загрузчик второго этапа только для российских IP-адресов и запускает его на устройстве.

Полезная нагрузка второго этапа представляет собой еще один исполняемый файл, размер которого был увеличен до 690 МБ для уклонения от анализа антивирусом, при этом он также включает в себя проверки песочницы и виртуальных машин.

Загрузчик вредоносного ПО отключает Microsoft Defender, добавляя исключение, и создает службу Windows с именем DrvSvc для сохранения между перезагрузками.

В конце концов он загружает финальную полезную нагрузку, SilentCryptoMiner, модифицированную версию XMRig, способную добывать несколько криптовалют, включая ETH, ETC, XMR и RTM.

Майнер загружает удаленные конфигурации из Pastebin каждые 100 минут, чтобы их можно было обновлять динамически.

Для обхода защиты он загружается в системный процесс типа dwm.exe с помощью подмены процессов и приостанавливает майнинговую активность, когда пользователь запускает инструменты мониторинга, такие как Process Explorer и Task Manager.

Обнаруженная ЛК, в первую очередь, нацелена на российских пользователей, но может быть реализована и в более серьезном масштабе, распространяя, в том числе стилеры или ransomware.

Securelist

SilentCryptoMiner distributed as a bypass tool

Attackers blackmail YouTubers with complaints and account blocking threats, forcing them to distribute a miner disguised as a bypass tool.

www.tgoop.com/true_secator/6822

5.5K viewsMar 10 at 10:30

Исследователи из Лаборатории Касперского раскрывают новую массовую вредоносную кампанию, нацеленную на пользователей YouTube с использованием майнера SilentCryptoMiner под видом инструментов Windows Packet Divert (WPD).

Авторы контента на YouTube, ориентированного на пользователей WPD, достаточно часто публикуют обучающие и рекламные материалы в отношении различных инструментов WPD, позволяющих обходить ограничения на веб-сайты и онлайн-сервисы.

Выдавая себя за владельцев указаных WPD киберпреступники рассылают поддельные заявления о нарушении авторских прав, заставляя получателей продвигать вредоносное ПО и майнеры крипты в своих роликах.

Угрожая страйками и блокировкой злоумышленники предлагают владельцам каналов компромиссное решение, предоставляя актуальные ссылки для загрузки, которые рекомендуется разместить в ролике взамен предыдущей.

В других случаях злоумышленники связываются с создателем напрямую, выдавая себя за разработчиков инструмента и утверждая, что у оригинального инструмента теперь новая версия или новая ссылка для загрузки, и просят создателя изменить ее в своем видео.

Опасаясь утратить свои каналы, авторы идут навстречу злоумышленникам и добавляют в свои видео предлагаемые ссылки на репозитории GitHub, где якобы размещены упомянутые WPD.

Однако это троянизированные версии, которые включают загрузчик криптомайнера.

Исследователи ЛК отмечают, что подобная реклама WPD была замечена на YouTube в видеоролике, который собрал более 400 000 просмотров, а вредоносная ссылка была загружена 40 000 раз.

Кроме того, ТГ-канал с 340 тыс. подписчиками также продвигал вредоносное ПО под тем же соусом.

По данным телеметрии ЛК, вредоносная кампания затронула более 2000 жертв в России, но общее число может быть гораздо выше.

Вредоносный архив, загруженный из репозиториев GitHub, содержит загрузчик вредоносного ПО на основе Python, который запускается с помощью PowerShell через измененный скрипт запуска (general.bat).

Если антивирус жертвы завершает этот процесс, стартовый скрипт выдает сообщение об ошибке «файл не найден», предлагая пользователю отключить антивирус и повторно загрузить файл.

Исполняемый файл извлекает загрузчик второго этапа только для российских IP-адресов и запускает его на устройстве.

Полезная нагрузка второго этапа представляет собой еще один исполняемый файл, размер которого был увеличен до 690 МБ для уклонения от анализа антивирусом, при этом он также включает в себя проверки песочницы и виртуальных машин.

Загрузчик вредоносного ПО отключает Microsoft Defender, добавляя исключение, и создает службу Windows с именем DrvSvc для сохранения между перезагрузками.

В конце концов он загружает финальную полезную нагрузку, SilentCryptoMiner, модифицированную версию XMRig, способную добывать несколько криптовалют, включая ETH, ETC, XMR и RTM.

Майнер загружает удаленные конфигурации из Pastebin каждые 100 минут, чтобы их можно было обновлять динамически.

Для обхода защиты он загружается в системный процесс типа dwm.exe с помощью подмены процессов и приостанавливает майнинговую активность, когда пользователь запускает инструменты мониторинга, такие как Process Explorer и Task Manager.

Обнаруженная ЛК, в первую очередь, нацелена на российских пользователей, но может быть реализована и в более серьезном масштабе, распространяя, в том числе стилеры или ransomware.

BY SecAtor