Специалисты «Лаборатории Касперского» раскрыли деятельность хакерской группировки Librarian Ghouls, также известной как Rare Werewolf, которая организовала массовые атаки на российские устройства с целью скрытой добычи криптовалют. Злоумышленники сумели проникнуть в сотни систем, используя изощрённые фишинговые атаки — письма, стилизованные под официальные уведомления реальных компаний, включая платежные документы и деловые предложения.
После инфицирования ПК злоумышленники получают удалённый доступ, отключают антивирусные средства защиты, включая Windows Defender, и полностью берут контроль над устройством. Для минимизации шансов обнаружения они программируют автоматический запуск системы в ночное время — с 1:00 до 5:00 — когда пользователь, как правило, не работает за компьютером.
В этот период хакеры не только добывают криптовалюту, но и активно собирают данные: выясняют объём оперативной памяти, количество ядер процессора и характеристики видеокарты. Это позволяет им максимально эффективно настроить майнинг-программу под конкретное оборудование. Во время работы майнера злоумышленники поддерживают постоянную связь с майнинговым пулом, отправляя запросы каждую минуту.
Активность группировки была замечена с декабря 2024 года и продолжается по сей день. Основными жертвами стали организации в России — в первую очередь технические университеты и предприятия промышленного сектора. Также были зафиксированы единичные случаи компрометации устройств в Беларуси и Казахстане.