Kalózok a célkeresztben
A Kaspersky egy nagyszabású malware-kampányt elemzett, amely illegális filmstreaming- és digitális könyvoldalakon keresztül terjed. A támadók hamis videólejátszó-frissítéssel veszik rá a felhasználókat egy ZIP-állomány letöltésére, amely legitim alkalmazásnak álcázott futtatható állományt és egy rosszindulatú DLL-fájlt tartalmaz. A fertőzés DLL side-loading technikával indul, majd kriptobányász és távoli hozzáférést biztosító komponensek települnek a rendszerre.
A fertőzés nem csak kriptobányászatot végez. A SilentCryptoMiner új változata már egy teljes értékű RAT modult is tartalmaz, amely távoli parancsvégrehajtásra, shellcode futtatására és további malware-ek memóriából történő betöltésére képes. A vezérlőszerverekhez való kommunikáció titkosított, dinamikusan generált domaineken keresztül történik.
A malware rendszerszintű jogosultság megszerzése után kikapcsolja vagy gyengíti a védelmi mechanizmusokat, Windows Defender-kivételeket hoz létre, megpróbálja eltávolítani a Microsoft Malicious Software Removal Toolt (MSRT), valamint letiltja az automatikus alvó- és hibernációs módokat a bányászati teljesítmény maximalizálása érdekében. A perzisztencia érdekében szolgáltatásokat telepít és több komponenst közvetlenül folyamatmemóriába injektál.
A Kaspersky szerint 2026 áprilisában az érintett oldalak összesített havi forgalma elérte a 40 millió látogatást. A kampány könyvletöltő oldalakat, kalóz film- és sorozatstreaming platformokat egyaránt használ, ami jelentősen növeli a potenciális áldozatok számát.
A klasszikus kriptobányász malware-ek egyre gyakrabban alakulnak át többfunkciós támadóplatformmá. A bányászat mellett távoli hozzáférést, további fertőzések telepítését és tartós kompromittálást is lehetővé tesznek, így a fertőzött rendszer későbbi kiberműveletek kiindulópontjává válhat.
