Атакующие используют агент SIEM-системы Wazuh — решения для мониторинга событий с открытым исходным кодом — для обхода детектирования и закрепления на устройствах пользователей
Эксперты «Лаборатории Касперского» обнаружили необычную кампанию по распространению майнера SilentCryptoMiner. Со сложной цепочкой заражения столкнулись пользователи в нескольких странах мира, в том числе в Беларуси, Индии, Узбекистане и Казахстане. Отличительной особенностью этой кампании является то, что злоумышленники использовали несколько необычных техник для обхода детектирования и закрепления в системах пользователей, в том числе установку агента SIEM-системы с открытым исходным кодом Wazuh. Специалисты отмечают, что вредоносная кампания остаётся актуальной на сегодняшний день.
SilentCryptoMiner — скрытый майнер с открытым исходным кодом, который использует мощности заражённого устройства для майнинга криптовалюты. В обнаруженной экспертами схеме речь шла о криптовалютах Monero и Zephyr. Атакующие распространяли SilentCryptoMiner через фальшивые сайты, где якобы можно было бесплатно скачать, например, uTorrent, MS Excel, MS Word, Minecraft, Discord. Злоумышленники также вели несколько Telegram-каналов для владельцев криптокошельков и пользователей читов. В них предлагалось скачать тематическое ПО, под видом которого на устройство человека попадал скрытый майнер. Помимо этого, зловред распространялся через YouTube — вместе с множеством англоязычных видео, опубликованных с различных аккаунтов, вероятно взломанных. В описании к роликам и в комментариях размещались ссылки на поддельные ресурсы.
Чтобы установить нужное ему приложение, пользователь должен был скачать ZIP-архив. В нём якобы было необходимое ПО. Внутри находился MSI-файл (для инсталляции приложений на Windows), и TXT-документ с паролем для установки программы и инструкцией. Стоит отметить, что до запуска программы рекомендовалось отключить антивирусное решение. При этом программу, которую человек искал, он не получал. Вместо неё на устройство устанавливалось вредоносное ПО.
В результате многоступенчатой цепочки заражения на устройство пользователя проникал вредоносный скрипт вместе с SilentCryptoMiner. Отличительной особенностью обнаруженной кампании являлось применение злоумышленниками агента SIEM (системы для мониторинга событий) Wazuh. Такая техника была нацелена на обход детектирования защитными решениями и на закрепление на устройствах пользователей. К тому же SIEM-система давала злоумышленникам возможность получить удалённый контроль над заражённым девайсом, собирать телеметрию и отправлять её на их командный сервер.
Используя зловред, который позволял атакующим установить на устройство жертвы майнер, злоумышленники также могли собирать информацию об имени компьютера и пользователя, версии и архитектуре ОС, названии процессора, данных о графическом процессоре и установленном антивирусном ПО. Эти данные отправлялись в Telegram-бот атакующих. Также некоторые модификации вредоносного ПО могли отправлять скриншот рабочего стола, другие — устанавливать расширение для браузера, позволяющее подменять криптокошельки.
«Команда сменных вирусных аналитиков „Лаборатории Касперского” часто сталкивается с киберугрозами различного масштаба. Описанная кампания привлекла наше внимание в том числе из-за технической сложности. Атакующие ради свой цели — извлечения прибыли путём скрытого майнинга — использовали цепочку продвинутых техник. Одним из наиболее необычных элементов оказалось применение решения, которое обычно используется для защиты пользователей — агента SIEM-системы Wazuh», — комментирует Александр Кряжев, эксперт по кибербезопасности в «Лаборатории Касперского».
Продукты «Лаборатории Касперского» детектируют вредоносное ПО, использующееся в рамках кампании, следующими вердиктами: HEUR:Trojan-Dropper.OLE2.Agent.gen, HEUR:Trojan.BAT.Agent.gen, HEUR:Trojan.VBS.Agent.gen, Trojan.Script.AutoIt.ak, Trojan.BAT.Agent.cix, Trojan.BAT.Miner.id, HEUR:Trojan.Multi.Agent.gen, PDM:Trojan.Win32.Generic.
Чтобы защититься от скрытого майнинга и других киберугроз, эксперты рекомендуют:
- скачивать приложения только из официальных источников (магазинов приложений или с сайтов компаний-разработчиков);
- использовать надёжное защитное решение, эффективность которого подтверждается независимыми тестовыми лабораториями, например Kaspersky Premium, и ни в коем случае не отключать его при скачивании файлов.
Данные на основе анонимизированной статистики срабатывания решений «Лаборатории Касперского» летом 2024 года.