Группа Hacker Librarian Ghouls сняла с под угрозу сотни российских устройств и использовала их для добычи криптовалюты в явном случае криптокола, говорит фирма кибербезопасности Касперского.
Хакерская группа, которая также известна как редкий оборотня, получает доступ к системам с помощью фишинговых электронных писем, замаскированных в вредоносных программах, замаскированных под сообщения от законных организаций, которые, по-видимому, являются официальными документами или платежными приказами, сказал Касперский в отчете в понедельник.

Хакеры охватывают информацию о устройстве перед добычей
После того, как компьютер заражен вредоносным ПО, хакеры устанавливают удаленное соединение и отключили системы безопасности, такие как Defender Windows.
Инфицированное устройство также запрограммировано на включение в 1 час ночи и выключается в 5 часов утра, при этом хакеры используют временные рамки для дальнейшего установления несанкционированного удаленного доступа и кражи учетных данных входа в систему.
«Наша оценка, что злоумышленники используют эту технику, чтобы покрыть свои треки, чтобы пользователь не знал, что их устройство было захвачено», – сказал Касперский.
Затем они крадут учетные данные для входа в систему, а также собирают информацию о доступной оперативной памяти устройства, ядер ЦП и графических процессоров для оптимальной настройки майнера криптовалюты, прежде чем его развернуть.
По словам Касперского, в то время как шахтер работает, хакеры поддерживают соединение с пулом горнодобывающих заводов, отправляя запрос каждые 60 секунд.
«Мы отмечаем, что злоумышленники постоянно совершенствуют свою тактику, охватывая не только эксфильтрацию данных, но и развертывание инструментов удаленного доступа и использование фишинговых сайтов для компромисса учетной записи электронной почты», – сказали в фирме.
Кампания по криптоколке продолжается с 2024 года
До сих пор хакерская кампания, которая началась в декабре и продолжается, затронула сотни российских пользователей, особенно промышленных предприятий и инженерных школ, а дополнительные жертвы сообщают в Беларуси и Казахстане.
Происхождение группы не было установлено;Тем не менее, Касперский сказал, что фишинговые электронные письма «составлены на русском языке и включают архивы с российскими именами файлов, а также русские документы приманки».
Связанный: Украинный арест человек за нарушение хостинговых аккаунтов на шахте крипто
«Это говорит о том, что основные цели этой кампании, вероятно, основаны на России или говорят по -русски», – сказал Касперский.
Librararian Ghouls могут быть хактивистами
Касперский предполагает, что флибрационные упыры могут быть хактивистами, которые используют взлом в качестве формы гражданского неповиновения для содействия политической повестке дня из-за использования методов, обычно связанных с аналогичными группами, такими как зависимость от законных, сторонних утилит.
«Отличительной особенностью этой угрозы является то, что злоумышленники предпочитают использование законного стороннего программного обеспечения по поводу разработки собственных здравомыслящих двоичных файлов»,-сказал Касперский.
Неизвестно, как долго группа была активной, но еще одна российская фирма по кибербезопасности, Би. Зона заявила в сообщении 23 ноября, что редкий оборотень существует как минимум с 2019 года.