Майнеры на пиратских сайтах: более 40 миллионов пользователей под угрозой из-за старой уловки с фальшивым обновлением плеера

Исследователи информационной безопасности обнаружили масштабную кампанию по распространению скрытых программ для добычи криптовалюты. Злоумышленники использовали популярные пиратские сайты с фильмами и сериалами для заражения компьютеров ничего не подозревающих пользователей. Этот способ атаки не нов, но его масштабы впечатляют.

Описание

Клиент одной из профильных компаний обратился за помощью в расследовании инцидента ещё в конце апреля 2026 года. Пользователи пожаловались на резкое замедление работы своих устройств. В ходе разбирательства специалисты выяснили, что причина кроется в работающем майнере. Самое интересное заключалось в способе его проникновения в систему.

Всё начиналось с заурядной ситуации. Человек заходил на пиратский сайт, чтобы посмотреть фильм или новый эпизод сериала. В определённый момент на экране появлялось сообщение о том, что плагин для видеоплеера устарел. Пользователю предлагали скачать обновление. Тех, кто нажимал на ссылку, ждала загрузка ZIP-архива. Внутри архива находился вполне легитимный исполняемый файл и рядом с ним - вредоносная DLL-библиотека. Когда пользователь запускал программу, срабатывала техника под названием DLL-подгрузка. Вредоносный модуль внедрялся в процесс законной программы и начинал выполнять свой скрытый код, который разворачивал майнер и обеспечивал его закрепление в системе.

Технический анализ этой угрозы показал, что мы имеем дело не с разовым случаем, а с хорошо спланированной и давно работающей кампанией. Эксперты в своём отчёте связали текущую активность с более ранними атаками, которые описывали другие компании по кибербезопасности. Механизм доставки вредоносного архива практически не изменился: раньше файлы скачивались с определённого домена, теперь злоумышленники используют новый сайт. Структура самого архива осталась прежней: легитимный файл и большая вредоносная DLL. Исследователи также нашли упоминания аналогичной схемы в блоге японской компании NTT Security. В той атаке злоумышленники показывали фальшивую страницу сбоя браузера и одновременно загружали архив. Судя по всему, эта кампания длится как минимум с 2022 года. За это время атакующие постоянно обновляли как сами вредоносные файлы, так и отдельные части механизма заражения.

Потенциальный масштаб проблемы огромен. Пиратские ресурсы, которые использовались для распространения майнера, пользовались колоссальной популярностью. По состоянию на конец апреля 2026 года аудитория даже самого маленького из сайтов с цифровыми библиотеками составляла 11 тысяч пользователей. Самый крупный из них привлекал 4,7 миллиона человек в месяц. Что касается сайтов с пиратскими фильмами, то их аудитория колебалась от 2,1 до 27,4 миллиона посетителей. В апреле общее количество визитов на сайты, где было обнаружено это вредоносное ПО, достигло 40 миллионов. Такая популярность не может не настораживать. Авторы кампании не ограничиваются одной платформой, они распространяют вредоносный архив как через онлайн-библиотеки, так и через стриминговые сайты. Это существенно расширяет круг потенциальных жертв и усложняет выявление единого вектора атаки.

Внутри самого вредоносного кода скрывалось немало хитростей. Большая часть данных в DLL была бесполезным мусором, сгенерированным случайным образом. Это сделано для того, чтобы увеличить размер файла и затруднить его анализ. Среди этого мусора пряталась одна функция, которая вызывала переполнение стека. Эта уязвимость использовалась для создания цепочки команд, которая расшифровывала и запускала следующий этап вредоносной программы. В итоге управление передавалось специально модифицированному коду, который и загружал основную часть майнера.

Этот главный модуль представлял собой модифицированную версию известного проекта с открытым кодом SilentCryptoMiner. При первом запуске модуль собирал данные о системе жертвы: информацию о процессоре, серийный номер диска, наличие привилегий администратора и время запуска. Вся эта информация отправлялась на сервер злоумышленника с помощью техники DNS-туннелирования. Запрос маскировался под легитимный трафик и содержал часть домена microsoft.com, хотя фактически отправлялся на IP-адрес, к Microsoft никакого отношения не имеющий.

В зависимости от полученного ответа программа либо продолжала работу, либо останавливалась. Если атака происходила на устройстве с привилегиями администратора, майнер предпринимал ряд активных действий. Он добавлял папки и файлы в список исключений Защитника Windows, удалял средство удаления вредоносных программ от Microsoft и отключал спящий режим на компьютере. Это нужно для того, чтобы майнер работал непрерывно и как можно дольше. Затем он копировал себя в системную папку, регистрировал службу для автоматического запуска и внедрял в память несколько модулей: агент удалённого управления, сторожевой модуль и два майнера - один для процессора, другой для видеокарты.

Если программа запускалась без прав администратора, она начинала постоянно показывать запросы системы контроля учётных записей, пытаясь повысить свои привилегии. Параллельно она настраивала собственный автозапуск через реестр. Сторожевой модуль, работающий внутри легитимного процесса, каждые пять секунд проверял целостность установленной службы и восстанавливал её в случае вмешательства. Именно этот модуль необходимо обезвредить в первую очередь при попытке очистить систему.

Агент удалённого управления давал атакующим полный контроль над заражённым устройством. Он умел выполнять произвольные команды, запускать другие программы прямо из памяти и выполнять вредоносный код. Адрес сервера управления для этого агента вычислялся на основе текущей даты с использованием сложного хеширования. На момент исследования были известны конкретные домены, зарегистрированные преступниками. Сами майнеры, написанные на основе XMRig, также получали свою конфигурацию с удалённых серверов. Адрес сервера менялся каждую неделю, но все они вели на один и тот же IP-адрес.

Этот случай наглядно демонстрирует, что посещение пиратских сайтов по-прежнему связано с серьёзным риском. Злоумышленники постоянно совершенствуют свои схемы, используя доверие пользователей к сообщениям об обновлениях и огромную аудиторию нелегальных ресурсов. Учитывая, что кампания длится годами, а её авторы постоянно обновляют инструменты, можно с уверенностью сказать, что окончание этой истории ещё очень далеко.