Вредоносное ПО для майнинга Monero поражает игроков через торренты игр

Вредоносное ПО для майнинга Monero поражает пользователей, скачивающих торренты игр

По данным компании Kaspersky, кампания началась в декабре прошлого года и нацелена на пользователей, скачивающих торренты популярных игр с незаметной установкой XMRig, программы для майнинга Monero. Вредоносное ПО для криптовалюты нацелено на игроков: загрузка майнингового вредоносного кода происходит через торренты популярных игр.

Хакеры теперь нацеливаются на игроков, у которых в компьютерах есть мощные характеристики, с помощью вредоносного ПО для майнинга криптовалют. Согласно данным Kaspersky, российской компании по кибербезопасности, крипто-преступники начали использовать торренты популярных игр, включая BeamNG.drive, Garry’s Mod, Dyson Sphere Program, Universe Sandbox и Plutocracy, для распространения приложений для майнинга Monero, которые могут активироваться удаленно.

Майнинговый пакет поставляется через установщик с трещиной, который обходит систему безопасности копирования, позволяя пользователю установить и играть в загруженную игру. Кампания, названная `StaryDobry`, использует распространение торрентов так называемых репаков, сжатых версий игр, которые обеспечивают более быструю загрузку этих взломанных версий.

Kaspersky утверждает, что она начала фиксировать эти инфекции с января 2025 года. Тем не менее, исследование компании показывает, что подготовка кампании началась как минимум в сентябре, когда были загружены первые версии этих игровых релизов.

Однако это была лишь фаза распространения, так как экземпляры XMRig, программы для майнинга Monero, были активированы удаленно с 31 декабря, когда Kaspersky зафиксировала первую массовую инфекцию.

Майнер сначала проверяет, есть ли в компьютере, на который он установлен, процессор с восемью или более ядрами, так как это обеспечит наибольшую прибыль для нападающего. Если в компьютере, на который установлен установщик, процессор с менее чем восемью ядрами, майнер Monero не активируется из-за низкой производительности.

Этот случай использования объясняет зафиксированный вектор атаки, так как игровые ПК обычно конфигурируются с мощным железом для обеспечения лучшей производительности в игровых задачах. Kaspersky раскрыла, что большинство инфекций произошло в России, с дополнительными случаями, зарегистрированными в Беларуси, Казахстане, Германии и Бразилии.

Хотя команда, стоящая за этой кампанией, не была идентифицирована, Kaspersky считает, что это может быть российская группа, учитывая использование русского языка в некоторых из их файлов и размер инфекции в России.

Читать далее: Пользователи Ledger стали жертвами новой фишинговой кампании утечки данных.