Книга с майнером: аналитики F6 обнаружили вредоносные программы в бесплатных онлайн-библиотеках
Специалисты Центра кибербезопасности компании F6, ведущего разработчика технологий для борьбы с киберпреступностью, обнаружили на ресурсах популярных бесплатных онлайн-библиотек вредоносный код, который заражал компьютеры жертв майнерами — вредоносным ПО для скрытой добычи криптовалют. Книжные сайты с общей аудиторией около 9 млн посетителей в месяц предположительно были взломаны киберпреступниками.
Весной 2025 года аналитики Центра кибербезопасности F6 с помощью системы F6 Managed XDR обнаружили на одном из устройств компании-клиента инцидент. Вредоносный код внес исключения в настройках антивируса и запустил ряд процессов на компьютере жертвы. После локализации угрозы и исследования инцидента аналитики ЦК обнаружили, что пользователь самостоятельно скачал файл с ресурса flibusta[.]su и затем запустил его. Вредоносный архив содержал код для обхода защиты и закрепления в системе, а также майнер криптовалюты.
Скрипт, встроенный в сайт, настроен таким образом, что майнер загружается только на десктопное устройство – компьютер. Если зайти на ресурс со смартфона, то у пользователя только перехватят данные логина и пароля от учетной записи на инфицированном сайте, при условии, что их введут их в форму для авторизации.
С помощью графового анализа Graph Threat Intelligence F6 аналитики обнаружили еще ресурсы, которые также содержали вредоносный программный код и предположительно были взломаны: flibusta[.]one, flibusta[.]top, mir-knig[.]xyz, litmir[.]site. В месяц эти ресурсы суммарно посещает около 9 млн пользователей, из них около 10% используют для этих целей компьютеры.
Кроме того, скрипт был распознан и на других русскоязычных и зарубежных ресурсах разной тематики: на сайтах интернет-магазинов и онлайн-площадках для хобби.
«Использование пиратских, сомнительных сервисов для скачивания книг — это серьезная угроза цифровой безопасности. В этом плане книги ничем не отличаются от взломанных программ, подозрительных модов игр и других «носителей». Как показывает практика, за безобидной обложкой романа, учебника может скрываться вредоносное ПО, включая майнеры, которые незаметно расходуют ресурсы устройства, замедляют его работу и ставят под удар конфиденциальные данные. В этом случае пользователь до какого-то момента даже не будет догадываться об угрозе», — отмечает Марина Романова, руководитель отдела по выявлению киберинцидентов Центра кибербезопасности компании F6.
Подробности исследования – в новом блоге на сайте F6.
https://habr.com/ru/companies/F6/news/921976/
https://www.f6.ru/blog/miners-free-libraries/ подробный анализ
Анализ ресурса
Ресурс flibusta[.]su предположительно был создан для перенаправления трафика на платформы с платным доступом к книгам. На сайте заявлены доступы к полным версиям произведений в форматах FB2, EPUB, PDF и MP3, но на практике доступны лишь фрагменты. Для скачивания полных версий требуется переход на легитимные сервисы с электронными и аудиокнигами.
В ходе анализа ресурса установлено, что он копирует оригинальную онлайн-библиотеку Флибуста, и с него распространяется вредоносное ПО с помощью встроенного в веб-страницу скрипта.
Специалисты Центра кибербезопасности компании F6, ведущего разработчика технологий для борьбы с киберпреступностью, обнаружили на ресурсах популярных бесплатных онлайн-библиотек вредоносный код, который заражал компьютеры жертв майнерами — вредоносным ПО для скрытой добычи криптовалют. Книжные сайты с общей аудиторией около 9 млн посетителей в месяц предположительно были взломаны киберпреступниками.
Весной 2025 года аналитики Центра кибербезопасности F6 с помощью системы F6 Managed XDR обнаружили на одном из устройств компании-клиента инцидент. Вредоносный код внес исключения в настройках антивируса и запустил ряд процессов на компьютере жертвы. После локализации угрозы и исследования инцидента аналитики ЦК обнаружили, что пользователь самостоятельно скачал файл с ресурса flibusta[.]su и затем запустил его. Вредоносный архив содержал код для обхода защиты и закрепления в системе, а также майнер криптовалюты.
Скрипт, встроенный в сайт, настроен таким образом, что майнер загружается только на десктопное устройство – компьютер. Если зайти на ресурс со смартфона, то у пользователя только перехватят данные логина и пароля от учетной записи на инфицированном сайте, при условии, что их введут их в форму для авторизации.
С помощью графового анализа Graph Threat Intelligence F6 аналитики обнаружили еще ресурсы, которые также содержали вредоносный программный код и предположительно были взломаны: flibusta[.]one, flibusta[.]top, mir-knig[.]xyz, litmir[.]site. В месяц эти ресурсы суммарно посещает около 9 млн пользователей, из них около 10% используют для этих целей компьютеры.
Кроме того, скрипт был распознан и на других русскоязычных и зарубежных ресурсах разной тематики: на сайтах интернет-магазинов и онлайн-площадках для хобби.
«Использование пиратских, сомнительных сервисов для скачивания книг — это серьезная угроза цифровой безопасности. В этом плане книги ничем не отличаются от взломанных программ, подозрительных модов игр и других «носителей». Как показывает практика, за безобидной обложкой романа, учебника может скрываться вредоносное ПО, включая майнеры, которые незаметно расходуют ресурсы устройства, замедляют его работу и ставят под удар конфиденциальные данные. В этом случае пользователь до какого-то момента даже не будет догадываться об угрозе», — отмечает Марина Романова, руководитель отдела по выявлению киберинцидентов Центра кибербезопасности компании F6.
Подробности исследования – в новом блоге на сайте F6.
https://habr.com/ru/companies/F6/news/921976/
https://www.f6.ru/blog/miners-free-libraries/ подробный анализ
Анализ ресурса
Ресурс flibusta[.]su предположительно был создан для перенаправления трафика на платформы с платным доступом к книгам. На сайте заявлены доступы к полным версиям произведений в форматах FB2, EPUB, PDF и MP3, но на практике доступны лишь фрагменты. Для скачивания полных версий требуется переход на легитимные сервисы с электронными и аудиокнигами.
В ходе анализа ресурса установлено, что он копирует оригинальную онлайн-библиотеку Флибуста, и с него распространяется вредоносное ПО с помощью встроенного в веб-страницу скрипта.
289 Кб, 894x894>>7444 (OP)
ой баюс баюс!
Мимо скачано полмиллиона пиратских книг.
Покупайте только лицензионные майнеры!
ой баюс баюс!
Мимо скачано полмиллиона пиратских книг.
Покупайте только лицензионные майнеры!
>>7463
Ну это база.
Ну это база.
56 Кб, 1177x662>>7462 (Del)
поридж не просмотрел последние два абзаца, это не флибуста, а какая-то хуетая от копирайтуха с "демо версиями" книг которая только имитирует флибусту, а сама посылает на платный литрес
поридж не просмотрел последние два абзаца, это не флибуста, а какая-то хуетая от копирайтуха с "демо версиями" книг которая только имитирует флибусту, а сама посылает на платный литрес
>>7478
Ну это базированная база.
Ну это базированная база.
60 Кб, 1208x608>>7444 (OP)
>Книга
>Exe
>Dll
>Книга
>обнаружили, что пользователь самостоятельно скачал файл с ресурса flibusta[.]su и затем запустил его.
>Сайты с неполными кусками
2,4 Мб, 2600x2600Так и надо воришкам и пихать туда желательно такую вирусню, чтобы компьютеры у воришек выходили из строя БЕЗВОЗВРАТНО.
>>7595
Ещё можно пихать в лицензионные копии. Намайненные деньги будут сильнее мотивировать производить больше лицензионной легальной продукции.
Ещё можно пихать в лицензионные копии. Намайненные деньги будут сильнее мотивировать производить больше лицензионной легальной продукции.
>>7444 (OP)
Это те хуеплёты, которые вечно кекают в тредах, что антивирусы не нужны. Дескать они сидят без антивиря с 1996 года и всё норм.
>обнаружили, что пользователь самостоятельно скачал файл с ресурса flibusta[.]su и затем запустил его
Это те хуеплёты, которые вечно кекают в тредах, что антивирусы не нужны. Дескать они сидят без антивиря с 1996 года и всё норм.
>>7639
Скорее те хуеплеты которые скачивают файлы книги в формате ЕХЕ с хуй пойми каких сайтов и запускают их.
Таким дегенератам никакой антивирус не поможет
Скорее те хуеплеты которые скачивают файлы книги в формате ЕХЕ с хуй пойми каких сайтов и запускают их.
Таким дегенератам никакой антивирус не поможет
256 Кб, 960x1200>>7631
Лицензионный продукт должен быть без вредоносного программного обеспечения, покупатель заслуживает право не подвергать риск заражения своего устройства, которым он пользуется. Это только для воришек вирусню нужно пихать, чтобы отбить у них желание воровать.
Лицензионный продукт должен быть без вредоносного программного обеспечения, покупатель заслуживает право не подвергать риск заражения своего устройства, которым он пользуется. Это только для воришек вирусню нужно пихать, чтобы отбить у них желание воровать.
>>7444 (OP)
Литресовские жидовские суки в своём репертуаре.
Литресовские жидовские суки в своём репертуаре.
>>7666
Скажи это всяким античитам и drm rat'никам. А в былые времена они и систему могли навернуть.
>Лицензионный продукт должен быть без вредоносного программного обеспечения,
Скажи это всяким античитам и drm rat'никам. А в былые времена они и систему могли навернуть.
>>7462 (Del)
Это не та флибуста, а очередная дорвейная помойка литреса с "конец ознакомительного фрагмента".
Это не та флибуста, а очередная дорвейная помойка литреса с "конец ознакомительного фрагмента".
>>7652
Linux накатить!
Linux накатить!
>>7462 (Del)
Даёшь эксплойты в fb2
Даёшь эксплойты в fb2
>>7444 (OP)
10% Карл
уже никто не пользуется компами, двощеры - умирающий вид пекарей
>9 млн пользователей, из них около 10% используют для этих целей компьютеры
10% Карл
уже никто не пользуется компами, двощеры - умирающий вид пекарей