За атаки ответственна группа хакеров Librarian Ghouls. Ее члены активны с 01:00 до 05:00 по местному времени и атакуют сотрудников производственных предприятий и технических вузов.
Их цель - получить удаленный доступ к устройствам и завладеть учетными данными.
В зараженные ПК злоумышленники устанавливают майнер для нелегальной добычи криптовалюты. Также, предполагают эксперты, у группы появились фишинговые сайты, маскирующиеся под известный российский почтовый сервис.
Отмечается, что атака начинается с фишинговых писем, содержащих вредоносные архивы, защищенные паролем. При распаковке и запуске содержимое из архива перемещается в одну из папок на компьютере, что делает возможным удаленное управление устройством.
Вредоносное ПО на зараженном ПК активируется в час ночи по местному времени, а уже в пять часов утра хакеры выключают ПК с помощью планировщика задач. За четыре часа преступники успевают собрать и отправить себе учетные данные и ключевые фразы криптовалютных кошельков.
По словам экспертов, после передачи информации вредонос стирает из компьютера жертвы файлы, созданные в ходе атаки. Он также загружает в зараженную систему майнер, а после удаляет себя с устройства.