Analistas relataram uma nova onda de mineração oculta na Rússia

A grupos de hackers Librarian Ghouls, também conhecido como Rare Werewolf, invadiu centenas de dispositivos russos para mineração oculta de criptomoedas. Especialistas do "Laboratório Kaspersky" relataram isso.

###Algoritmo de infecção

Os criminosos obtiveram acesso aos sistemas através de e-mails de phishing. Eles estão disfarçados como mensagens de organizações reais e parecem documentos oficiais ou ordens de pagamento.

Após a infecção do computador com malware, os hackers estabelecem uma conexão remota e desativam os sistemas de proteção, incluindo o Windows Defender. Eles desativam sistemas de segurança, como o Windows Defender. Em seguida, configuram o dispositivo para ligar automaticamente à uma da manhã e desligar às cinco da manhã. Segundo a "Laboratório Kaspersky", assim os criminosos ocultam suas ações do usuário.

Neste período, eles também roubam credenciais. Antes de iniciar o minerador, os criminosos coletam informações sobre o sistema: quantidade de memória RAM, número de núcleos do processador e dados sobre a placa gráfica. Isso lhes permite otimizar o programa para a mineração de criptomoedas. Durante a operação do minerador, os hackers mantêm contato com o pool, enviando solicitações a cada minuto.

###Quando começaram os ataques

A campanha começou em dezembro de 2024 e continua até agora. Centenas de usuários russos foram afetados, principalmente empresas industriais e universidades técnicas. Casos isolados foram registrados na Bielorrússia e no Cazaquistão.

A origem do grupo não está estabelecida. Analistas notaram que os e-mails de phishing estão redigidos em russo, contêm arquivos com nomes russos e documentos isca. Isso indica que o alvo da campanha é provavelmente usuários de língua russa ou residentes na Rússia.

Especialistas sugerem que os Librarian Ghouls podem ser os chamados hackers ativistas. O grupo utiliza software de terceiros legal em vez de desenvolver seu próprio código malicioso — uma característica marcante de tais associações. De acordo com outra empresa, a BI.ZONE, o agrupamento Rare Werewolf está ativo pelo menos desde 2019.

Recordamos que, em dezembro de 2024, os analistas do "Laboratório Kaspersky" falaram sobre uma nova fraude no YouTube.

Em maio, o prejuízo da indústria cripto devido a hacks atingiu $244 milhões