Компания «Доктор Веб», занимающаяся разработкой антивирусного программного обеспечения, сообщает о росте случаев обнаружения троянов-майнеров, которые используются для скрытой добычи криптовалют. Эти трояны могут быть найдены в пиратском программном обеспечении, в том числе в Telegram и на различных интернет-ресурсах.
Сотрудники вирусной лаборатории компании «Доктор Веб» отмечают, что в декабре 2023 года было зафиксировано увеличение числа случаев обнаружения трояна-майнера под названием Trojan.BtcMine.3767, а также связанного с ним трояна Trojan.BtcMine.2742. Как оказалось, эти трояны попадали на компьютеры пользователей вместе с пиратскими версиями различных программ.
Trojan.BtcMine.3767 – это троянская программа для ОС Windows, которая была написана на языке C++. Она является загрузчиком майнера, который был создан на основе проекта SilentCryptoMiner, который имеет открытый код. Основные источники, из которых происходит заражение данным трояном, исходят из Telegram-канала t[.]me/files_f, а также из сайтов itmen[.]software и soft[.]sibnet[.]ru. Стоит отметить, что для последнего были подготовлены отдельные сборки с использованием установщика NSIS. После распаковки установочного пакета были обнаружены пути, которыми злоумышленники пользовались для хранения исходных файлов трояна.
C:\bot_sibnet\Resources\softportal\exe\
C:\bot_sibnet\Resources\protect_build\miner\
Согласно данным вирусной исследовательской лаборатории "Доктор Веб", за полтора месяца деятельность одной из кампаний, связанной с распространением данного троянского вируса, привела к заражению свыше 40 тысяч компьютеров. Стоит отметить, что статистика просмотров публикаций на канале Telegram и интернет-трафик могут значительно увеличить масштаб проблемы.
Indicators of Compromise
Domains
- promo3010.click
- soft.sibnet.ru
URLs
- itmen.software/office/aktivator
- mega.nz/file/M3VkwS6R#5s4clQ9aEE8kesscEF3vzAC5eVh9a-vCt4DMCTuJtZE
- t.me/files_f
SHA1
- 4ffae4669eba9938639662667f5430a806e56980
- 5918bbf71641c2776f20bdd2fc08c82dc17178cc
- 673b6be8163580ba70403321663f5edbb0565f12
- 7717e9c5d85e77653bf65e57ed20f89086c3e3ed
- bfab9c8da1f969b07e4e7f0bd1aa9865fd7a9d3c
- feb0501ac141df63cc0d5bb341cb24a769f81bc9