Майнер через поддельное обновление плеера атакует пиратские сайты

В ходе расследования cyberthreat в April 2026 года была обнаружена sustained malicious campaign, ориентированная на users нелегальных sites для просмотра films и TV shows. Злоумышленники распространяли malware через deceptive mechanism, который prompting пользователей download fake video player update. За этим followed installation of a ZIP archive with a legitimate executable HLS Installer.874.exe и malicious DLL, использующей technique DLL side-loading для injection кода в legitimate processes.

По данным анализа, данная campaign demonstrates continuity in distribution methods: earlier infrastructure relied on domain file.ipfs.us.69.mu, later shifted to urush1bar4.online, while preserving a consistent archive structure. Researchers note that the attacker has been modifying both the malware and the infection mechanism since 2022.

Масштаб распространения

Сеть распространения оказалась значительной: многие targeted sites ежемесячно собирали millions of visits, а суммарно только за April оценка достигла 40 million visits сайтов, размещавших это malware. Такой охват сделал кампанию особенно опасной для users, которые искали бесплатный access к media content.

Как работала infection chain

После запуска archive вредоносный DLL, замаскированный под junk code, contained functionality exploiting stack overflow vulnerabilities and launching miner payload. Основной module был derived from the SilentCryptoMiner project, известного ability to collect confidential system information and transmit it using custom DNS tunneling techniques.

В этом случае злоумышленники также предприняли ряд defensive evasion measures:

• created exceptions in Windows Defender;
• terminated the Microsoft Malicious Software Removal Tool;
• prevented automatic updates to remain unnoticed.

Для обеспечения persistence malware injected itself into the Google Chrome directory and registered a service for automatic startup when the system boots.

Возможности payload

Минер использовал combination of CPU and GPU mining capabilities и coordinated communication with a command-and-control server, который еженедельно adapted with changing domains. Такая схема позволяла infrastructure оставаться resilient к блокировкам и оперативно менять endpoints.

В состав malware входили несколько submodules:

• watchdog timer — для проверки integrity;
• RAT — tool удаленного доступа, реагирующий на commands, encrypted with AES-CBC;
• mining components, запускаемые в зависимости от hardware capabilities системы.

Кроме того, submodules собирали и передавали decrypted configuration data, необходимую для получения operational parameters.

Почему эта кампания опасна

Несмотря на продолжительный характер и adaptability в выборе channels, campaign показывает, насколько уязвимы users, посещающие sites с pirate content. Распространение через fake updates, DLL side-loading, отключение защитных механизмов и скрытный miner с RAT-компонентом формируют complex operation, которая evolves в ответ на security measures.

Пользователи, обращающиеся к нелегальным загрузкам, остаются крайне уязвимыми перед подобными cyberthreats.

Итог расследования очевиден: malicious campaign сочетает persistence, stealth и modular architecture, а значит, представляет не только угрозу для производительности устройств, но и риск компрометации системной информации и дальнейшего remote control.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.