На сайтах онлайн-библиотек нашли скрытые майнеры криптовалют
Архивы с зараженными файлами скачивают с ресурсов, чья суммарная аудитория достигает 9 млн человек в месяц
Специалисты по информационной безопасности обнаружили вредоносное программное обеспечение на сайтах бесплатных онлайн-библиотек, пишет газета «Коммерсантъ». Хакеры распространяют майнеры криптовалюты под видом электронных книг. Архивы с зараженными файлами скачивают с ресурсов, чья суммарная аудитория достигает 9 млн человек в месяц. Речь идет о таких площадках, как «Флибуста», «Мир книг» и «Литмир». Аналогичные скрипты специалисты обнаружили также на сайтах интернет-магазинов и площадках для хобби.
Эксперты описали механизм заражения. Пользователь скачивает архив с книгой. Внутри файла — код, который добавляет исключения в настройках антивируса, запускает скрытые процессы и начинает майнинг. Майнер активируется только на персональных компьютерах. Если файл открывают на смартфоне, код крадет логин и пароль от учетной записи на зараженном сайте.
Исследователи впервые обнаружили угрозу на сайте «Флибуста». В архиве с книгой скрывались код для обхода защитных систем и сам майнер. После запуска скрипт вносил изменения в систему, снижал производительность и использовал ресурсы компьютера для добычи криптовалюты. Позже специалисты зафиксировали аналогичные угрозы и на других библиотеках.
По оценкам экспертов, если хотя бы 1% от общей аудитории таких сайтов скачает зараженные файлы, число инфицированных устройств достигнет 90 тысяч. Этого достаточно для создания ботнета и организации распределенного майнинга. Такой ботнет способен потреблять значительные вычислительные ресурсы и проводить кибератаки.
Электронные книги оказались удобной маскировкой. Вредоносный код можно спрятать в архиве или даже внутри PDF. Многие ресурсы, особенно бесплатные, не проверяют загружаемые файлы. Угроза касается не только домашних пользователей. Если зараженный файл открывают на рабочем компьютере, устройство становится частью ботнета. В этом случае компания может быть вовлечена в атаки на третьи лица.
Кроме майнеров, в архивы часто встраивают стилеры — программы для кражи конфиденциальной информации. С их помощью получают доступ к рабочим аккаунтам и внутренним системам. Даже если заражение произошло на личном устройстве сотрудника, при подключении к корпоративной сети вредоносный код может попасть во внутреннюю инфраструктуру. Это создает риски утечки данных, блокировки систем и взлома аккаунтов.
Эксперты предупреждают, что вредоносный код могут встраивать не только в текстовые, но и в аудио— и видеофайлы. Распространение через массовые ресурсы делает такие атаки труднее для обнаружения. Компании, чьи сотрудники загружают вредоносные файлы, могут понести ответственность, если зараженное устройство участвует в атаках.
Представители сайта «Флибуста» сообщили, что передадут информацию своим разработчикам. Они пообещали «поискать в коде» и «попробовать купить антивирус». Также они заявили, что будут ежедневно мониторить ситуацию и при необходимости использовать защитные механизмы против сторонних скриптов.
Все важное о книжной индустрии и литературе читайте в нашей рубрике «Книжная полка».