Весной 2025 года аналитики Центра кибербезопасности F6 обнаружили новую волну кибератак, нацеленную на любителей бесплатных электронных книг. Вредоносное ПО, маскирующееся под архивы с литературой, скрытно добывает криптовалюту за счет ресурсов зараженных устройств. Особенность этой кампании - использование доверия пользователей к онлайн-библиотекам, многие из которых являются копиями некогда популярной, но заблокированной в России пиратской платформы Флибуста.
Описание
Атака начинается с посещения одного из поддельных сайтов, таких как flibusta[.]su, flibusta[.]one или mir-knig[.]xyz. Эти ресурсы имитируют легитимные библиотеки, предлагая бесплатные книги, но вместо текстовых файлов пользователи получают ZIP-архив с вредоносным содержимым. Внутри - два файла: исполняемый (под видом легальной программы Sandboxie) и динамическая библиотека (DLL), которая содержит майнер.
При открытии архива запускается механизм DLL Sideloading - вредоносный код подменяет оригинальные компоненты Sandboxie, что позволяет зловреду закрепиться в системе. Майнер использует утилиту SilentCryptoMiner, доступную в открытых источниках, что упрощает его модификацию и распространение.
Техники обхода защиты
Чтобы избежать обнаружения, майнер предпринимает ряд действий:
- Добавляет исключения в Windows Defender для своих файлов.
- Удаляет обновления безопасности, включая Microsoft Malicious Software Removal Tool.
- Останавливает службы Windows Update (UsoSvc, WaaSMedicSvc и другие).
- Внедряется в легитимные процессы, такие как explorer.exe, чтобы скрыть свою активность.
Для маскировки под обычный софт зловред создает сервис с названием GoogleUpdateTaskMachineQC, копируя себя в папку C:\ProgramData\Google\Chrome\ под видом updater.exe.
Роль вредоносных скриптов
Главная страница зараженных сайтов содержит скрипт, который определяет тип устройства жертвы. Если пользователь заходит с ПК, скрипт загружает майнер; если с телефона - ограничивается кражей паролей из форм авторизации.
Скрипт использует несколько доменов для доставки вредоносного кода, включая ssl1[.]cbu[.]net и file[.]ipfs[.]us[.]69[.]mu. После загрузки файлы переименовываются в соответствии с названием книги, чтобы избежать подозрений.
Масштабы угрозы
По данным аналитиков, ежемесячно сайты из этой кампании посещают миллионы пользователей. Например, flibusta[.]su в апреле 2025 года зафиксировал около 6,9 млн визитов. При этом 89% посетителей заходят с мобильных устройств, что снижает общее количество заражений, но не исключает риска.
География атаки охватывает преимущественно страны СНГ, где интерес к бесплатным книгам остается высоким. Популярные запросы вроде "Флибуста скачать" или "Флибуста бесплатно" показывают, что пользователи активно ищут обходные пути для доступа к пиратскому контенту.
Вывод
Эта кампания наглядно демонстрирует, как киберпреступники эксплуатируют доверие пользователей к привычным сервисам. Вместо ожидаемых книг жертвы получают майнер, который не только замедляет работу компьютера, но и повышает риски утечки данных. Осведомленность и осторожность остаются ключевыми инструментами защиты в такой ситуации.
Индикаторы компрометации
Domains
- flibusta.one
- flibusta.top
- litmir.site
- mir-knig.xyz
