Книга с майнером: аналитики F6 обнаружили вредоносные программы в бесплатных онлайн-библиотеках

Специалисты Центра кибербезопасности F6, ведущего разработчика технологий для борьбы с киберпреступностью, обнаружили на ресурсах популярных бесплатных онлайн-библиотек вредоносный код, который заражал компьютеры жертв майнерами — вредоносным ПО для скрытой добычи криптовалют. Книжные сайты с общей аудиторией около 9 миллионов посетителей в месяц предположительно были взломаны киберпреступниками.

Весной 2025 года аналитики Центра кибербезопасности F6 с помощью системы F6 Managed XDR обнаружили на одном из устройств компании-клиента инцидент. Вредоносный код внес исключения в настройках антивируса и запустил ряд процессов на компьютере жертвы. После локализации угрозы и исследования инцидента аналитики ЦК обнаружили, что пользователь самостоятельно скачал файл с ресурса flibusta[.]su и затем запустил его. Вредоносный архив содержал код для обхода защиты и закрепления в системе и майнер криптовалюты.

Скрипт, встроенный в сайт, настроен таким образом, что майнер загружается только на десктопное устройство – компьютер. Если зайти на ресурс со смартфона, то у пользователя только будут перехвачены данные логина и пароля от учетной записи на инфицированном сайте, при условии, что он введет их в форму для авторизации.

С помощью графового анализа Graph Threat Intelligence F6 аналитики обнаружили еще ресурсы, которые также содержали вредоносный программный код и предположительно были взломаны: flibusta[.]one, flibusta[.]top, mir-knig[.]xyz, litmir[.]site. В месяц эти ресурсы всего посещает около 9 миллионов пользователей, из них около 10% используют для этих целей компьютеры.

Кроме того, скрипт был распознан и на других русскоязычных и зарубежных ресурсах разной тематики: на сайтах интернет-магазинов и онлайн-площадках для хобби.

«Использование пиратских и сомнительных сервисов для скачивания книг — это серьезная угроза цифровой безопасности. В этом плане книги ничем не отличаются от взломанных программ. Как показывает практика, за безобидной обложкой романа или учебника может скрываться любое вредоносное ПО, включая майнеры криптовалюты, которые незаметно расходуют ресурсы устройства, замедляют его работу и ставят под удар конфиденциальные данные. Подбирая вредоносное ПО для размещения на подобных ресурсах, злоумышленники руководствуются своими целями: от организации шпионажа и хищения денежных средств до подготовки целевых атак на инфраструктуру организации».

Марина Романова

Руководитель отдела по выявлению киберинцидентов Центра кибербезопасности компании F6

Рекомендации:

• Проводить регулярные обучения рядовых сотрудников организации для повышения знаний об актуальных угрозах в области информационной безопасности.
• Рекомендовать сотрудникам не использовать личные устройства, такие как ПК и ноутбуки, для выполнения рабочих задач.
• Сформировать перечень программ и приложений, разрешенных к применению в корпоративной инфраструктуре, запрещая использование любых других, не входящих в данный список.
• Ограничить возможность самостоятельной установки программного обеспечения на рабочие устройства для обычных пользователей.
• Использовать для защиты инфраструктуры комплексный подход, защищающий от различных векторов атак.

Для пользователей самое важное правило: пользоваться проверенными источниками и не переходить по сомнительным ссылкам.