«После передачи украденной информации группе вредонос стирает из компьютера жертвы файлы, созданные в ходе атаки, и загружает в зараженную систему майнер. А в конце удаляет себя с устройства», — пояснили в "Лаборатории Касперского", описывая схему работы хакеров.Группировка Librarian Ghouls, уже известная своими сложными атаками на цели в России и странах СНГ, использует легальное программное обеспечение для достижения своих целей. Основной метод — фишинговые письма, содержащие защищенные паролем вредоносные архивы. После распаковки и запуска содержимого архива на компьютере жертвы создается папка, через которую хакеры получают удаленный доступ к устройству.
Вредоносное ПО активируется в 01:00 и работает до 05:00, используя планировщик задач для автоматического выключения зараженного компьютера. За эти четыре часа хакеры успевают собрать учетные данные и ключевые фразы криптовалютных кошельков. Кроме того, на устройство устанавливается майнер для нелегальной добычи криптовалюты. Чтобы замести следы, вредоносное ПО удаляет созданные файлы и самоуничтожается.
Эксперты также обнаружили, что группировка использует фишинговые сайты, имитирующие популярный российский почтовый сервис, для привлечения жертв. Это позволяет хакерам эффективно маскировать свои действия и увеличивать масштаб атак.
Основная цель Librarian Ghouls — получение удаленного доступа к устройствам и кража учетных данных. Установка майнеров для добычи криптовалюты приносит хакерам дополнительный доход, в то время как жертвы сталкиваются с утечкой конфиденциальной информации и потенциальным ущербом для инфраструктуры.
Производственные предприятия и технические вузы, ставшие мишенями атак, особенно уязвимы из-за специфики их работы и большого количества чувствительных данных. По мнению экспертов, выбор ночного времени для атак не случаен: это позволяет хакерам минимизировать риск обнаружения, так как в эти часы системы часто остаются без активного мониторинга.
