Эксперты «Лаборатории Касперского» зафиксировали масштабную кампанию скрытого майнинга криптовалют, организованную хакерской группировкой Librarian Ghouls (она же Rare Werewolf). Злоумышленники взломали сотни устройств на территории России, особенно в промышленных организациях и технических вузах.
Атаки осуществляются через фишинговые письма, маскирующиеся под официальные документы от известных организаций. После заражения хакеры получают удалённый доступ, отключают защитные системы, включая Windows Defender, и настраивают автоматическое включение заражённых устройств ночью — с часу до пяти утра. В это время запускается майнер и параллельно происходит кража данных.
Перед началом майнинга вирус сканирует устройство: анализирует оперативную память, процессор и видеокарту, чтобы оптимально настроить добычу криптовалют. Связь с майнинг-пулом поддерживается постоянно, обновления происходят каждые 60 секунд.
Кампания стартовала в декабре 2024 года и всё ещё продолжается. Помимо России, зафиксированы единичные случаи заражений в Беларуси и Казахстане. Почерк атак и русскоязычные документы указывают на то, что мишенью стали русскоязычные пользователи.
По мнению экспертов, группа может быть хактивистской: она использует легальное стороннее ПО вместо традиционных вредоносных программ, что затрудняет её обнаружение. Rare Werewolf известна специалистам по кибербезопасности как минимум с 2019 года.
Атаки осуществляются через фишинговые письма, маскирующиеся под официальные документы от известных организаций. После заражения хакеры получают удалённый доступ, отключают защитные системы, включая Windows Defender, и настраивают автоматическое включение заражённых устройств ночью — с часу до пяти утра. В это время запускается майнер и параллельно происходит кража данных.
Перед началом майнинга вирус сканирует устройство: анализирует оперативную память, процессор и видеокарту, чтобы оптимально настроить добычу криптовалют. Связь с майнинг-пулом поддерживается постоянно, обновления происходят каждые 60 секунд.
Кампания стартовала в декабре 2024 года и всё ещё продолжается. Помимо России, зафиксированы единичные случаи заражений в Беларуси и Казахстане. Почерк атак и русскоязычные документы указывают на то, что мишенью стали русскоязычные пользователи.
По мнению экспертов, группа может быть хактивистской: она использует легальное стороннее ПО вместо традиционных вредоносных программ, что затрудняет её обнаружение. Rare Werewolf известна специалистам по кибербезопасности как минимум с 2019 года.