Una nuova campagna di malware sta infettando utenti con un miner di criptovalute chiamato SilentCryptoMiner, camuffato da strumento per aggirare i blocchi su Internet e restrizioni sui servizi online. La società di sicurezza informatica russa Kaspersky ha identificato questa attività come parte di una tendenza più ampia, in cui i criminali informatici stanno utilizzando strumenti come Windows Packet Divert (WPD) per diffondere malware sotto le sembianze di programmi di bypass delle restrizioni.

Questi software vengono spesso distribuiti come archivi con istruzioni di installazione testuali, in cui gli sviluppatori raccomandano di disabilitare le soluzioni di sicurezza, citando falsi positivi. Questo gioca a favore degli attaccanti, permettendo loro di persistere in un sistema non protetto senza il rischio di rilevamento.

L'approccio è stato utilizzato in schemi che propagano strumenti di furto di credenziali, strumenti di accesso remoto (RAT), trojan che forniscono accesso remoto nascosto e miner di criptovalute come NJRat, XWorm, Phemedrone e DCRat. L'ultimo sviluppo di questa tattica è una campagna che ha compromesso oltre 2000 utenti russi con un miner mascherato come strumento per eludere i blocchi basati sull'ispezione approfondita dei pacchetti (DPI). Il programma è stato pubblicizzato sotto forma di un link a un archivio malevolo tramite un canale YouTube con 60.000 iscritti.

In una successiva escalation delle tattiche individuate a novembre 2024, gli attori delle minacce sono stati trovati a impersonare tali sviluppatori di strumenti per minacciare i proprietari dei canali con falsi avvisi di violazione del copyright e chiedere loro di pubblicare video con link malevoli, altrimenti rischiavano la chiusura dei canali per presunta violazione. A dicembre 2024, gli utenti hanno segnalato la distribuzione di una versione infetta da miner dello stesso strumento tramite altri canali Telegram e YouTube, che da allora sono stati chiusi.

Gli archivi infetti contengono un eseguibile extra, con uno degli script batch legittimi modificato per eseguire il binario tramite PowerShell. Se il software antivirus installato nel sistema interferisce con la catena di attacco e cancella il binario malevolo, agli utenti viene mostrato un messaggio di errore che li invita a riscaricare il file e a eseguirlo dopo aver disabilitato le soluzioni di sicurezza.

L'eseguibile è un loader basato su Python progettato per recuperare un malware di fase successiva, un altro script Python che scarica il payload del miner SilentCryptoMiner e stabilisce la persistenza, ma non prima di controllare se è in esecuzione in una sandbox e configurare le esclusioni di Windows Defender. Il miner, basato sul miner open-source XMRig, è riempito con blocchi di dati casuali per gonfiare artificialmente la dimensione del file a 690 MB, ostacolando così l'analisi automatica da parte delle soluzioni antivirus e delle sandbox.