Vidar и XMRig атакуют через вредоносную рекламу
В апреле 2026 года специалисты Unit 42 раскрыли финансово мотивированную киберкампанию, в ходе которой на компьютеры жертв одновременно доставлялись Vidar — стилер конфиденциальных данных — и криптомайнер XMRig. Атака была направлена прежде всего на частных пользователей и представителей малого и среднего бизнеса в США и странах Европейского Союза. Основным каналом распространения стала вредоносная реклама (malvertising), заманивавшая жертв на поддельные страницы загрузки «крякнутого» программного обеспечения.
Механизм заражения: от вредоносного архива до двойной нагрузки
Первоначальный доступ к системе обеспечивался через рекламные объявления, ведущие на скачивание бинарного архива, защищённого паролем. Это решение было принято злоумышленниками сознательно: парольная защита позволяла обходить почтовые фильтры и затрудняла автоматический анализ в песочницах. После распаковки жертва запускала загрузочный бинарный файл, замаскированный под популярную программу, который последовательно разворачивал и Vidar, и XMRig.
Исполняемые файлы загрузчиков несли поддельную цифровую подпись, имитировавшую сертификат компании JustWatch GmbH, а в их основе лежал фреймворк Factory-v3 — инструмент сборки, известный созданием различных типов стилеров. Для обхода автоматических проверок безопасности злоумышленники намеренно раздували размер файлов: загрузчики содержали обширные вставки из нулевых байт. Поскольку большинство песочниц ограничивают объём анализируемых объектов, такое «утяжеление» позволяло вредоносной нагрузке остаться незамеченной.
Техники уклонения и закрепление в системе
Кампания демонстрировала несколько эшелонированных методов противодействия анализу. В памяти процесса осуществлялся обход Antimalware Scan Interface (AMSI) путём изменения пути выполнения, что предотвращало сканирование содержимого стандартными защитными средствами. Дополнительно конфигурационные данные майнера XMRig были защищены с помощью вращающегося шифра XOR, что усложняло их извлечение исследователями.
После внедрения в систему вредоносное ПО обеспечивало постоянство присутствия через изменение параметров реестра и создание запланированных задач. Цепочка атаки включала географический маяк, определявший IP-адрес жертвы и влиявший на дальнейшее размещение файлов в различных системных каталогах.
Двойной источник дохода: Vidar и XMRig работают в тандеме
Стилер Vidar специализировался на сборе учётных данных браузеров, файлов cookie и информации о криптокошельках. Параллельно майнер XMRig использовал ресурсы центрального процессора для добычи криптовалюты Monero, никак не мешая основной краже данных. Похищенная информация и результаты майнинга передавались на управляющие серверы (C2), один из которых был зафиксирован по IP-адресу 136.243.203.109.
«Операторы применяли уникальные идентификаторы для управления и отслеживания результатов майнинга для каждой жертвы, что обеспечивало двойной доход за счёт кражи учётных данных и майнинга криптовалюты», — отмечается в отчёте Unit 42.
Эволюция кампании и смена цифровых сертификатов
24 апреля 2026 года была зафиксирована очередная волна атак. Ключевым отличием стало использование альтернативного сертификата для подписи исполняемого кода: на этот раз он имитировал ресурс BleacherReport.com. Тактические приёмы в остальном остались прежними, что свидетельствует о намерении операторов сохранить эффективность схемы, меняя лишь один элемент для обхода сигнатурных детектов.
Рекомендации по противодействию
Для снижения рисков, связанных с подобными составными угрозами, эксперты предлагают следующий комплекс мер:
- Внедрение блок-листов по серийным номерам скомпрометированных или поддельных сертификатов, включая выдаваемые за JustWatch GmbH и BleacherReport.com.
- Настройка инструментов безопасности на сканирование файлов избыточного размера, содержащих значительные объёмы нулевых байт.
- Мониторинг аномальных паттернов загрузки API-функций, связанных с Windows Defender и интерфейсом AMSI, для раннего обнаружения попыток обхода защитных механизмов.
Анализ кампании наглядно демонстрирует растущую изощрённость операторов, использующих модель «ВПО как услуга» и комбинирующих различные типы вредоносной активности в одной атаке. Сочетание кражи учётных данных и скрытого майнинга позволяет извлекать максимальную прибыль из каждого заражённого узла, что подчёркивает необходимость комплексных и адаптивных стратегий защиты.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.



