Исследователи Лаборатории Касперского зафиксировали новую волну распространения SilentCryptoMiner — скрытого майнера, который использует ресурсы зараженного компьютера для добычи криптовалюты. Если раньше пользователи чаще сталкивались с ним на сайтах бесплатных онлайн-библиотек, теперь вредоносный архив начали размещать и на неофициальных площадках для просмотра и скачивания фильмов и сериалов.
Схема рассчитана на привычное поведение: человек ищет бесплатный контент, переходит на сайт из поисковой выдачи или по ссылке, скачивает архив и запускает файл внутри. Но — сюрприз — вместо книги, фильма или программы на компьютер попадает вредоносное ПО.
Cуммарное число визитов на ресурсы, где был обнаружен SilentCryptoMiner, в апреле 2026 года достигло 40 млн. Это не число заражённых устройств, а оценка посещаемости площадок, через которые распространялся вредонос.
Текущая версия распространяется в виде ZIP-архива. Внутри лежит легитимный исполняемый файл с расширением .exe и вредоносная DLL-библиотека. После запуска .exe библиотека подгружается в его процесс, и вредоносный код начинает исполняться.
В свежей версии SilentCryptoMiner появился модуль удаленного управления устройством. Это повышает риск для пользователя: зараженный компьютер может стать узлом, к которому оператор вредоноса получает дополнительный доступ.
SilentCryptoMiner уже несколько раз всплывал в разных кампаниях. В октябре 2024 года исследователи описывали его распространение через фальшивые сайты с программами и играми: пользователям обещали uTorrent, Microsoft Office, Discord, Minecraft и другой популярный софт. Архивы сопровождались инструкциями, где жертву просили отключить антивирус перед установкой. В части атак использовался агент Wazuh — легитимная система мониторинга событий безопасности. Через него злоумышленники пытались закрепиться в системе, собирать телеметрию и управлять зараженным устройством.
В марте 2025 года отдельная кампания была связана с инструментами для обхода сетевых ограничений. Тогда вредонос маскировали под популярные утилиты, а ссылки распространялись через YouTube и Telegram. Securelist описывал схему с давлением на авторов роликов: злоумышленники выдавали себя за представителей разработчиков, жаловались на видео и требовали публиковать новые ссылки на «официальный сайт». Один из каналов имел около 60 тыс. подписчиков, ролики набрали более 400 тыс. просмотров, а счетчик на вредоносном сайте показывал десятки тысяч загрузок.
Весной 2025 года SilentCryptoMiner заметили на сайтах, копирующих бесплатные онлайн-библиотеки. Пользователь искал книгу, получал архив размером примерно 60–100 МБ с похожим названием и запускал файл внутри. Отдельный вредоносный скрипт на таких сайтах мог подменять ссылки и красть пароли, введённые на странице. Kaspersky сообщал о более чем тысяче заблокированных атак на компьютерах пользователей в России только за период с 17 февраля по 19 марта 2025 года. Реальное число попыток заражения может быть и выше: статистика учитывала только срабатывания защитных решений компании.
Технически SilentCryptoMiner связан с XMRig — открытым майнером, который сам по себе может использоваться легально. Проблема возникает, когда такую технологию встраивают в скрытую цепочку заражения и запускают без ведома владельца устройства. В прошлых описанных кампаниях вредонос использовался для добычи разных криптовалют, включая Monero и Zephyr. В отдельных модификациях исследователи находили сбор сведений об устройстве: имя компьютера и пользователя, версия и разрядность операционной системы, процессор, видеокарта, установленное защитное ПО. Часть сборок могла делать скриншоты рабочего стола или ставить браузерное расширение для подмены криптокошельков.
Есть новость? Станьте автором.
Мы сотрудничаем с независимыми исследователями и специалистами по кибербезопасности. Отправьте нам новость или предложите статью на рассмотрение редакции.
