F6: мошенники распространяют программы-майнеры через онлайн-библиотеки

Специалисты Центра кибербезопасности F6 выявили на платформах популярных бесплатных онлайн-библиотек вредоносный код, заражающий компьютеры пользователей программами-майнерами для скрытой добычи криптовалют. Книжные сайты с совокупной аудиторией около 9 млн посетителей в месяц могли быть взломаны злоумышленниками, говорится в сообщении компании.

Весной 2025 г. аналитики Центра с помощью системы F6 Managed XDR зафиксировали инцидент на одном из устройств компании-клиента. Вредоносный код изменил настройки антивируса, добавив исключения, и запустил на компьютере жертвы ряд скрытых процессов. После локализации угрозы выяснилось, что пользователь вручную загрузил файл с ресурса Flibusta и открыл его. Архив содержал код для обхода защиты, закрепления в системе и майнер криптовалюты.

Встроенный в сайт скрипт настроен так, что майнер загружается только на компьютерах. При посещении сайта со смартфона злоумышленники могут похитить только логин и пароль пользователя, если он введет их в форму авторизации.

С помощью графового анализа Graph Threat Intelligence аналитики F6 обнаружили и другие ресурсы с электронными книгами, которые, предположительно, было взломаны. Ежемесячная аудитория этих платформ – около 9 млн пользователей, причем примерно 10% из них заходят на ресурсы с компьютеров.

Подобный скрипт также был распознан и на других русскоязычных и зарубежных ресурсах разной тематики: на сайтах интернет-магазинов и онлайн-площадках для хобби. В компании рекомендовали гражданам пользоваться только проверенными источниками и избегать сомнительных ссылок.

Пиратский сайт Flibusta работает с 2009 г., на нем бесплатно публикуют электронные версии книг на разных языках. В апреле 2016 г. из-за жалоб правообладателей Мосгорсуд вынес решение о пожизненной блокировке Flibusta, а также ограничил доступ к двум копиям этого сайта. В октябре стало известно о смерти основателя Flibusta, скрывавшегося под ником Stiver. Однако поклонники ресурса продолжают поддерживать его функционирование.

18 июня F6 сообщила о запуске открытой платформы «Антифишинг» для противодействия онлайн-мошенничеству. Пользователи могут сообщать о фишинговых сайтах, письмах, ссылках и вредоносных приложениях, даже если они пришли в личных сообщениях мессенджеров или соцсетей. Эксперты компании проверяют данные и передают их регуляторам и профильным организациям для блокировки.