За даними Kaspersky, кампанія почалася в грудні минулого року, націлюючись на користувачів, які завантажують торренти популярних ігор із безшумною установкою XMRig, програми для майнінгу монеро.
Шкідливе програмне забезпечення для майнінгу Monero вражає користувачів, які завантажують ігрові торренти
Ця стаття була опублікована понад рік тому. Деяка інформація може бути неактуальною.
АВТОР
ПОДІЛИТИСЯ
Крипто-шкідливе програмне забезпечення націлене на геймерів: навантаження для майнінгу монеро доставляється через популярні ігрові торренти
Зловмисники тепер націлюються на геймерів, які мають потужні комп’ютери, з шкідливим програмним забезпеченням для крипто-майнінгу. За інформацією Kaspersky, російської компанії з кібербезпеки, крипто-злочинці почали використовувати торренти популярних ігор, включаючи BeamNG.drive, Garry’s Mod, Dyson Sphere Program, Universe Sandbox і Plutocracy для поширення програм для майнінгу монеро, які можуть бути активовані віддалено.
Пакет для майнінгу доставляється через інсталяційний файл, який обходить систему захисту від копіювання, дозволяючи користувачеві встановлювати та грати в завантажену гру. Кампанія, під назвою “StaryDobry,” використовує переваги розповсюдження торрентів так званих репаків, стислих версій ігор, які дозволяють швидше завантажувати ці зламані версії.
Kaspersky стверджує, що почав виявляти ці інфекції в січні 2025 року. Проте розслідування компанії показує, що кампанія готувалася з принаймні вересня, коли перші версії цих випусків ігор були завантажені.
Однак, це була лише фаза розповсюдження, оскільки екземпляри XMRig, програми для майнінгу монеро, були активовані дистанційно з 31 грудня, коли Kaspersky виявив першу масову інфекцію.
Майнер спершу перевіряє, чи має комп’ютер, на якому він встановлений, процесор з вісьмома або більше ядрами, оскільки такі забезпечують найбільші прибутки для атакуючого. Якщо комп’ютер, на якому встановлений інсталяційний файл, має процесор з менше ніж вісьма ядрами, майнер монеро не активується через низьку продуктивність.
Цей кейс використання пояснює вектор атаки, оскільки ігрові установки зазвичай налаштовані з потужним обладнанням для кращої продуктивності в ігрових завданнях. Kaspersky виявив, що більшість інфекцій сталася в Росії, з додатковими випадками в Білорусі, Казахстані, Німеччині та Бразилії.
Хоча команда, яка стоїть за цією кампанією, не була ідентифікована, Kaspersky вважає, що це могла бути російська група, враховуючи використання російської мови в деяких файлах і розмір інфекції в Росії.
Читати далі: Користувачі Ledger стали мішенню нової кампанії з фішингу.
