Оператори SilentCryptoMiner використовують агент SIEM-системи Wazuh (опенсорсне рішення для моніторингу подій) для обходу детектування і закріплення на пристроях користувачів. З такими атаками зіткнулися користувачі в декількох країнах світу, зокрема в Білорусі, Індії, Узбекистані та Казахстані.

Як можна зрозуміти з назви, SilentCryptoMiner являє собою прихований майнер, який використовує потужності заражених систем для видобутку криптовалюти (у вивчених атаках ішлося про Monero і Zephyr).

Атакуючі поширювали SilentCryptoMiner через фальшиві сайти, де нібито можна було безплатно завантажити такий софт, як uTorrent, MS Excel, MS Word і Discord або такі ігри, як Minecraft.

Також хакери вели кілька Telegram-каналів для власників криптогаманців і користувачів читів. У них пропонувалося завантажити тематичне ПЗ, під виглядом якого на пристрій жертви і потрапляв шкідник.

Крім того, малварь поширювалася на YouTube – через безліч англомовних відео, опублікованих із різних акаунтів (імовірно зламаних). В описі та коментарях до роликів розміщували посилання на вищезгадані підроблені ресурси і Telegram-канали.

Вважаючи, що завантажують потрібний їм софт, жертви скачували ZIP-архів, у якому містився файл MSI і TXT-документ із паролем для встановлення програми та інструкцією. Жодного софту в архіві, зрозуміло, не було, а до запуску програми рекомендувалося відключити антивірус і Windows Defender. Після цього, під час багатоступеневого ланцюжка зараження, у систему жертви встановлювали шкідливий скрипт і SilentCryptoMiner.

Так, за допомогою малварі, яка давала змогу встановити на машину жертви майнер, хакери могли зібрати інформацію про ім’я комп’ютера і користувача, версію та архітектуру ОС, назву процесора, дані про графічний процесор і встановлене антивірусне ПЗ. Усю цю інформацію в підсумку передавали Telegram-боту атакувальників.

Зазначається, що деякі модифікації шкідника також могли робити скріншоти робочого столу і встановлювати розширення для браузера, що давало змогу підміняти криптогаманці.

«Хоча основна мета зловмисників – отримати прибуток шляхом потайного видобутку криптовалюти на пристроях жертв, деякі модифікації шкідливого ПЗ можуть здійснювати додаткові шкідливі дії, наприклад, підміняти адреси криптовалютних гаманців у буфері обміну та робити скріншоти», – попереджають фахівці.