A grupos de hackers Librarian Ghouls, também conhecido como Rare Werewolf, invadiu centenas de dispositivos russos para mineração oculta de criptomoedas. Especialistas do "Laboratório Kaspersky" relataram isso.
Algoritmo de infecção
Os criminosos obtiveram acesso aos sistemas através de e-mails de phishing. Eles estão disfarçados como mensagens de organizações reais e parecem documentos oficiais ou ordens de pagamento.
Após a infecção do computador com malware, os hackers estabelecem uma conexão remota e desativam os sistemas de proteção, incluindo o Windows Defender. Eles desativam sistemas de segurança, como o Windows Defender. Em seguida, configuram o dispositivo para ligar automaticamente à uma da manhã e desligar às cinco da manhã. Segundo a "Laboratório Kaspersky", assim os criminosos ocultam suas ações do usuário.
Neste período, eles também roubam credenciais. Antes de iniciar o minerador, os criminosos coletam informações sobre o sistema: quantidade de memória RAM, número de núcleos do processador e dados sobre a placa gráfica. Isso lhes permite otimizar o programa para a mineração de criptomoedas. Durante a operação do minerador, os hackers mantêm contato com o pool, enviando solicitações a cada minuto.
Quando começaram os ataques
A campanha começou em dezembro de 2024 e continua até agora. Centenas de usuários russos foram afetados, principalmente empresas industriais e universidades técnicas. Casos isolados foram registrados na Bielorrússia e no Cazaquistão.
A origem do grupo não está estabelecida. Analistas notaram que os e-mails de phishing estão redigidos em russo, contêm arquivos com nomes russos e documentos isca. Isso indica que o alvo da campanha é provavelmente usuários de língua russa ou residentes na Rússia.
Especialistas sugerem que os Librarian Ghouls podem ser os chamados hackers ativistas. O grupo utiliza software de terceiros legal em vez de desenvolver seu próprio código malicioso — uma característica marcante de tais associações. De acordo com outra empresa, a BI.ZONE, o agrupamento Rare Werewolf está ativo pelo menos desde 2019.
Recordamos que, em dezembro de 2024, os analistas do "Laboratório Kaspersky" falaram sobre uma nova fraude no YouTube.
Em maio, o prejuízo da indústria cripto devido a hacks atingiu $244 milhões
Ver original
O conteúdo é apenas para referência, não uma solicitação ou oferta. Nenhum aconselhamento fiscal, de investimento ou jurídico é fornecido. Consulte a isenção de responsabilidade para obter mais informações sobre riscos.
Analistas relataram uma nova onda de mineração oculta na Rússia
A grupos de hackers Librarian Ghouls, também conhecido como Rare Werewolf, invadiu centenas de dispositivos russos para mineração oculta de criptomoedas. Especialistas do "Laboratório Kaspersky" relataram isso.
Algoritmo de infecção
Os criminosos obtiveram acesso aos sistemas através de e-mails de phishing. Eles estão disfarçados como mensagens de organizações reais e parecem documentos oficiais ou ordens de pagamento.
Após a infecção do computador com malware, os hackers estabelecem uma conexão remota e desativam os sistemas de proteção, incluindo o Windows Defender. Eles desativam sistemas de segurança, como o Windows Defender. Em seguida, configuram o dispositivo para ligar automaticamente à uma da manhã e desligar às cinco da manhã. Segundo a "Laboratório Kaspersky", assim os criminosos ocultam suas ações do usuário.
Neste período, eles também roubam credenciais. Antes de iniciar o minerador, os criminosos coletam informações sobre o sistema: quantidade de memória RAM, número de núcleos do processador e dados sobre a placa gráfica. Isso lhes permite otimizar o programa para a mineração de criptomoedas. Durante a operação do minerador, os hackers mantêm contato com o pool, enviando solicitações a cada minuto.
Quando começaram os ataques
A campanha começou em dezembro de 2024 e continua até agora. Centenas de usuários russos foram afetados, principalmente empresas industriais e universidades técnicas. Casos isolados foram registrados na Bielorrússia e no Cazaquistão.
A origem do grupo não está estabelecida. Analistas notaram que os e-mails de phishing estão redigidos em russo, contêm arquivos com nomes russos e documentos isca. Isso indica que o alvo da campanha é provavelmente usuários de língua russa ou residentes na Rússia.
Especialistas sugerem que os Librarian Ghouls podem ser os chamados hackers ativistas. O grupo utiliza software de terceiros legal em vez de desenvolver seu próprio código malicioso — uma característica marcante de tais associações. De acordo com outra empresa, a BI.ZONE, o agrupamento Rare Werewolf está ativo pelo menos desde 2019.
Recordamos que, em dezembro de 2024, os analistas do "Laboratório Kaspersky" falaram sobre uma nova fraude no YouTube.