💬 Monero Mining Malware поражает пользователей, загружающих торренты игры

Monero Mining Malware поражает пользователей, загружающих торренты игры

По словам Касперского, кампания началась в декабре прошлого года, нацеленная на пользователей, которые загружают потоки популярных игр с тихой установкой Xmrig, программы Monero Mining.

Криптоотраслевые нацеливания на геймеры: Monero Mining Payload, поставляемая через популярные игровые потоки

Хакеры теперь нацелены на геймеров, которые имеют способные компьютеры, с крипто-привязкой вредоносной программы. По словам Касперского, российской компании по кибербезопасности, крипто -преступники начали использовать потоки популярных игр, в том числе Beamng.drive, мод Гарри, программа Dyson Sphere, Sandbox Universe и плутократия, чтобы распространять приложения Monero Mining, которые могут быть активированы удаленным.

Полезная нагрузка на добычу доставляется через установщик Crack, которая обойдит систему безопасности копий, позволяя пользователю установить и играть в загруженную игру. Кампания, деноминированная «starydobry», использует преимущества распределения торрентов так называемых перепаков, сжатых экземпляров игр, которые позволяют более быстрые загрузки этих треснувших версий.

Касперский заявляет, что он начал обнаруживать эти инфекции в январе 2025 года. Тем не менее, расследование компании показывает, что кампания была в подготовке, по крайней мере, с сентября, когда были загружены первые версии этих игр.

Тем не менее, это была лишь этап распределения, так как экземпляры XMRIG, программа майнинга Monero, были активированы удаленно с 31 декабря, когда Касперский обнаружил первую массивную инфекцию.

Шахтер сначала проверяет, имеет ли компьютер, на котором он установлен, есть процессор с восемью или более ядер, поскольку они обеспечат наибольшую доходность для злоумышленника. Если компьютер, где установщик имеет процессор с менее чем восьми ядрами, майнер Monero не активируется из -за плохой производительности.

Этот вариант использования объясняет обнаруженный вектор атаки, поскольку игровые установки обычно настроены с сильным оборудованием, чтобы получить лучшую производительность в игровых задачах. Касперский показал, что большинство инфекций произошло в России, а дополнительные случаи зарегистрировались в Беларуси, Казахстане, Германии и Бразилии.

Хотя команда этой кампании не была идентифицирована, Касперский считает, что она может быть русской группой, учитывая использование российского языка в некоторых его файлах и размер инфекции в России.

Подробнее: пользователи Ledger, предназначенные для новой фишинговой кампании по нарушению данных