Хакерская группировка Librarian Ghouls, также известная как Rare Werewolf, взломала сотни российских устройств с целью скрытого майнинга криптовалют, сообщили специалисты «Лаборатории Касперского». 

Вредоносное ПО распространяется через фишинговые письма, замаскированные под официальные документы и платежные поручения. После заражения хакеры получают удаленный доступ, отключают защитные механизмы, включая Windows Defender, и настраивают работу компьютера в ночное время — с часу ночи до пяти утра — чтобы скрыть свою активность. Они также крадут учетные данные и собирают системную информацию (объем ОЗУ, количество ядер, характеристики видеокарты), чтобы оптимально настроить майнинг. 

Программа связывается с пулом, отправляя запросы каждую минуту. Атаки начались в декабре 2024 года и продолжаются. Жертвами стали в основном российские промышленные предприятия и технические университеты, также зафиксированы случаи в Беларуси и Казахстане. Фишинговые сообщения и приманки составлены на русском языке, что указывает на русскоязычную целевую аудиторию.

По данным BI.ZONE, группировка активна минимум с 2019 года и использует легальное стороннее ПО вместо собственного вирусного кода — типичный признак хактивистских сообществ.