Uma nova campanha de malware está infectando usuários russos com um minerador de criptomoedas chamado SilentCryptoMiner, disfarçado como uma ferramenta para burlar bloqueios de internet e restrições online. Segundo a empresa de segurança Kaspersky, a tática faz parte de uma tendência crescente em que cibercriminosos utilizam ferramentas Windows Packet Divert (WPD) para distribuir malware, apresentando-as como programas legítimos para contornar censura na internet. Os atacantes enganam as vítimas distribuindo os arquivos maliciosos em arquivos compactados acompanhados de instruções falsas, orientando os usuários a desativar seus antivírus antes da instalação, alegando que esses softwares legítimos geram falsos positivos.

Isso facilita a permanência do malware no sistema sem ser detectado. Essa abordagem já foi usada para espalhar trojans de acesso remoto (RATs), stealers e outros mineradores como NJRat, XWorm, Phemedrone e DCRat. Dessa vez, os criminosos comprometeram mais de 2.000 usuários na Rússia, distribuindo o minerador disfarçado como um programa para burlar bloqueios baseados em inspeção profunda de pacotes (DPI). A falsa ferramenta era promovida por um canal no YouTube com 60 mil inscritos, onde um link levava as vítimas a baixarem um arquivo infectado. Em novembro de 2024, os atacantes começaram a se passar por desenvolvedores legítimos dessas ferramentas para ameaçar donos de canais com falsas notificações de copyright, forçando-os a postar vídeos com links maliciosos ou arriscar ter seus canais suspensos.

Em dezembro de 2024, usuários relataram que a distribuição do malware se expandiu para canais no Telegram e YouTube, que posteriormente foram derrubados. Os arquivos maliciosos continham um executável extra, inserido dentro de um script legítimo modificado para ser acionado via PowerShell. Caso um antivírus detectasse e removesse o arquivo malicioso, uma mensagem de erro era exibida incentivando o usuário a rebaixar o programa e desativar seu antivírus antes de tentar novamente.