Майнер SilentCryptoMiner с удаленным управлением атакует кинопорталы: 40 млн визитов в РФ
Майнер SilentCryptoMiner переместился с книжных сайтов на пиратские кинотеатры, заразив в апреле 2026 года 40 млн пользователей. Обновленный вредоносный модуль теперь позволяет злоумышленникам не только майнить криптовалюту, но и полностью перехватывать управление компьютерами, угрожая конфиденциальностью данных.
«Лаборатория Касперского» зафиксировала расширение каналов распространения майнера SilentCryptoMiner в России: вектор атаки сместился с онлайн-библиотек на ресурсы для просмотра и скачивания фильмов. В апреле 2026 года суммарное число визитов на зараженные площадки достигло 40 млн. Злоумышленники обновили вредоносное ПО, добавив модуль удаленного управления устройством, что повышает риски потери контроля над корпоративными и личными компьютерами.
Изменение вектора атаки и масштабы угрозы
Кампания по распространению майнера длится как минимум с 2022 года. За это время механизмы заражения эволюционировали, а география и тематика площадок-источников расширились. Если ранее угроза исходила преимущественно от сайтов с книгами, то сейчас основной трафик вредоносных ссылок генерируется неофициальными кинотеатрами и видеопорталами.
Ключевые изменения в тактике атак:
- Смена каналов: Переход от книжных ресурсов к сайтам с фильмами и сериалами.
- Увеличение охвата: Потенциальная аудитория атаки выросла за счет популярности видеоконтента.
- Техническая модернизация: Вредонос получил возможность удаленного управления зараженным устройством.
Важный нюанс: Смена тематики сайтов-источников указывает на адаптацию киберпреступников к поведению пользователей, которые чаще ищут развлекательный контент на неофициальных ресурсах, чем профессиональную литературу.
Технические детали и механизм заражения
Актуальная версия угрозы использует социальную инженерию и техническую маскировку. Злоумышленники распространяют ZIP-архив, содержащий легитимный исполняемый файл (.exe) и вредоносную библиотеку (.dll).
Процесс заражения выглядит следующим образом:
- Пользователь скачивает архив с сайта.
- При запуске легитимного файла вредоносная DLL подгружается в его процесс.
- Запускается вредоносная логика: начинается майнинг криптовалюты и активация модуля удаленного управления.
Продукты «Лаборатории Касперского» идентифицируют угрозу по вердиктам HEUR:Trojan.Win64.DllHijack.gen и MEM:Trojan.Win32.SEPEH.gen.
Стоит учесть: Использование легитимных исполняемых файлов для подгрузки вредоносных библиотек позволяет обходить базовые проверки антивирусов, ориентированные на анализ только основного файла.
Риски для бизнеса и рекомендации
Расширение функционала майнера до уровня удаленного управления превращает его из инструмента кражи вычислительных ресурсов в угрозу целостности данных и конфиденциальности. Для организаций это означает риск несанкционированного доступа к внутренним сетям через зараженные рабочие станции сотрудников.
Для минимизации рисков бизнесу рекомендуется:
- Внедрить надежные решения для защиты, эффективность которых подтверждена независимыми тестами.
- Провести регулярную проверку устройств на наличие майнеров и других угроз.
- Ужесточить корпоративную политику использования интернета, запретив скачивание контента с неофициальных ресурсов.
На фоне этого: Использование пиратских ресурсов остается значимым фактором риска, так как злоумышленники, вероятно, продолжат расширять список каналов для распространения вредоносных архивов в поисках новой аудитории.
Источник: kaspersky.ru