Владельцев мощных ПК начали массово заражать скрытыми майнерами
Специалисты Microsoft зафиксировали волну целевых атак на владельцев мощных ПК: злоумышленники распространяют скрытые майнеры, маскируя вредоносные загрузки под известные утилиты для диагностики и обслуживания системы.
Согласно отчёту Microsoft Defender Experts атака ориентирована не на массовость, а на «качество» жертв. Под удар попадают пользователи, которые ищут CrystalDiskInfo, HWMonitor, Display Driver Uninstaller, FurMark, K-Lite Codec Pack и PDFgear — программы, традиционно востребованные среди владельцев производительных графических ускорителей, геймеров и инженеров. Расчёт прост: чем мощнее GPU на заражённой машине, тем выше прибыль от скрытого майнинга. Цепочка начинается с поискового запроса и злоумышленники раскрутили более 150 доменов, успешно выводя их в топ выдачи по значимым ключам. Пользователь, не заметив подмены, попадает на поддельный сайт, внешне копирующий официальную страницу программы, и скачивает архив. Внутри лежат два файла: легитимный исполняемый файл утилиты и вредоносная DLL с именем autorun.dll. При запуске программа через механизм DLL автоматически подгружает библиотеку майнера.
Дальше через встроенную передачу файлов на ПК доставляется дроппер SimpleRunPE.exe, который копирует себя в скрытую папку %LocalAppData%\Microsoft\Windows\Caches\D3F4E2A1\ под именем RuntimeHost.exe и прописывает сразу шесть механизмов автозапуска: три задачи в планировщике, два ключа реестра Run и ярлык в папке автозагрузки. В некоторых случаях этот же этап реализуется через PowerShell‑скрипт. Чтобы оставаться незамеченным, майнер запускает один из легитимно подписанных Microsoft процессов .NET (InstallUtil.exe, RegAsm.exe, MSBuild.exe и другие) в приостановленном состоянии и подменяет его код в памяти на
