La Russie est frappée par une nouvelle vague de mines cachées

Le groupe de hackers Librarian Ghouls, également connu sous le nom de Rare Werewolf, a piraté des centaines d'appareils russes pour l'extraction cachée de crypto-monnaie, ont rapporté les experts de Kaspersky Lab.

Algorithme d'infection

Les attaquants ont accédé aux systèmes grâce à des e-mails d'hameçonnage. Ces messages, déguisés en messages d'organisations réelles, ressemblent à des documents officiels ou à des ordres de paiement.

Après avoir infecté un ordinateur avec un logiciel malveillant, les pirates établissent une connexion à distance et désactivent les systèmes de sécurité, dont Windows Defender. Ils configurent ensuite l'appareil pour qu'il s'allume automatiquement à 1 h du matin et s'éteigne à 5 h. Selon Kaspersky Lab, c'est ainsi que les attaquants dissimulent leurs actions à l'utilisateur.

Durant cette période, ils volent également les identifiants. Avant de lancer le mineur, les attaquants collectent des informations sur le système : quantité de RAM, nombre de cœurs de processeur et données de la carte graphique. Cela leur permet de configurer le programme de manière optimale pour le minage de cryptomonnaies. Pendant l'exécution du mineur, les pirates restent en contact avec le pool, envoyant des requêtes toutes les minutes.

Quand les attaques ont commencé

La campagne a débuté en décembre 2024 et est toujours en cours. Des centaines d'utilisateurs russes, principalement des entreprises industrielles et des universités techniques, ont été touchés. Des cas isolés ont été recensés en Biélorussie et au Kazakhstan.

L'origine du groupe est inconnue. Les analystes ont constaté que les courriels d'hameçonnage étaient rédigés en russe et contenaient des archives avec des noms russes et des documents appâts. Cela indique que la campagne cible probablement les utilisateurs russophones ou les résidents de Russie.

Les experts suggèrent que les Librarian Ghouls pourraient être des hacktivistes. Le groupe utilise des logiciels tiers légaux au lieu de développer son propre code malveillant, une caractéristique de ce type de groupes. Selon une autre société, BI.ZONE, le groupe Rare Werewolf est actif depuis au moins 2019.

Источник: cryptocurrency.tech

Partagez votre amour

Publications similaires

Laisser un commentaire