Хакеры распространяли криптомайнер среди российских пользователей, маскируя его под игры-симуляторы. Кибератака осуществлялась через торрент-трекеры.

Злоумышленники распространяли на торрент-трекерах троянцев под видом бесплатных версий игр для ПК. Эти троянцы загружали на зараженные устройства модифицированную версию майнера XMRig.

Кампания по распространению майнера началась 31 декабря 2024 года и продолжалась до конца января 2025 года. Анализ показал, что зараженные версии игр начали появляться на торрент-трекерах еще осенью прошлого года. Эксперты не исключают, что атакующие могут возобновить свою деятельность.

По данным компании, с этой угрозой столкнулись пользователи в России, Беларуси, Казахстане, Бразилии и Германии.

Хакеры распространяли вредоносное ПО, маскируя его под популярные игры-симуляторы, такие как BeamNG.drive, Dyson Sphere Program, Universe Sandbox, Plutocracy и Garry’s Mod, известная своей свободой действий и отсутствием конкретных целей.

После установки зараженной версии игры пользователь получал доступ к игровому процессу, однако в процессе загрузки троянцы устанавливали на устройство скрытый майнер. Это приводило к замедлению работы компьютера, его перегреву и даже риску поломки. Кроме того, майнер значительно увеличивал потребление электроэнергии.

Вероятно, для старта кампании злоумышленники специально выбрали праздничный период, когда бдительность пользователей снижается, а интерес к развлекательному контенту может расти. Сама приманка в виде игр тоже выбрана неслучайно — игровые компьютеры, как правило, достаточно мощные для майнинга. Мы также полагаем, что за атаками стоит новая, ранее неизвестная кибергруппа, — комментирует Татьяна Шишкова, ведущий эксперт Kaspersky GReAT.