Выявлена новая киберпреступная группа Librarian Ghouls, чья особенность — атаки на российские организации исключительно в ночное время, с часа до пяти утра по местному времени. Кампания, стартовавшая в декабре 2024 года, затронула сотни корпоративных пользователей в России, включая производственные предприятия и технические вузы, а также компании в Беларуси и Казахстане. Об этом «Газете.Ru» сообщили в пресс-службе компании «Лаборатория Касперского».
Основные цели злоумышленников – получение удаленного доступа к устройствам, кража учетных данных и установка майнеров для нелегитимной добычи криптовалюты. Атаки начинаются с целевых фишинговых писем, содержащих защищенные паролем архивы с вредоносным содержимым, замаскированным под официальные документы.
После заражения хакеры устанавливают легитимное ПО AnyDesk для удаленного управления, отключают защитные механизмы и используют планировщик задач для скрытия следов активности, выключая скомпрометированные ПК ежедневно в пять утра. За четырехчасовой временной промежуток, когда жертвы, как правило, неактивны, злоумышленники успевают собрать и передать интересующую информацию, включая учетные данные и ключевые фразы криптовалютных кошельков, а затем удаляют свои следы и устанавливают майнер.
Группа Librarian Ghouls, также известная как Rare Werewolf и Rezet, активно обновляет свой арсенал, используя более 100 видов ПО.
Ранее россиян предупредили о крадущих подписи мошенниках в интернете.