Сайт пережил блокировки и смерть основателя, но не пережил вредоносных клонов.
Весной 2025 года специалисты Центра кибербезопасности F6 (ЦК F6) масштабную волну распространения вредоносного ПО для скрытого майнинга криптовалют. Источником заражения стали бесплатные онлайн-библиотеки электронных книг, в том числе клоны известных пиратских ресурсов.
После блокировки пиратской библиотеки «Флибуста» на территории России ещё в 2016 году, в интернете появилось множество её клонов. Они позволяют загружать книги или их фрагменты без необходимости обходить блокировки. Именно такие сайты и стали площадкой для новой вредоносной кампании. Стоит отметить, что в октябре 2024 года основатель оригинальной «Флибусты», известный как Stiver, в Германии после продолжительной борьбы с глиобластомой.
Весной 2025 года одна из систем F6 зафиксировала подозрительную активность на рабочем устройстве клиента. Внимательный анализ показал, что через PowerShell на компьютере были внесены изменения в исключения Windows Defender, позволяющие скрывать исполняемые файлы. Кроме того, в системе появился подозрительный сервис GoogleUpdateTaskMachineQC, закрепляющий угрозу.
Исследование показало, что заражение началось после того, как пользователь скачал файл с сайта flibusta[.]su. Поведение устройства указывало на работу майнера криптовалюты, скрытого внутри архива с «книгой».
Вредоносный архив содержал легитимный исполняемый файл программы Sandboxie и библиотеку SbieDll.dll, модифицированную для запуска вредоносного кода. Такой подход использует известную технику — загрузку изменённой библиотеки вместо оригинальной, чтобы внедрить вредонос.
Как установили специалисты, SbieDll.dll основана на проекте SilentCryptoMiner, исходный код которого находится в открытом доступе. Это позволило злоумышленникам гибко настраивать функционал, включая маскировку активности и защиту от удаления.
После запуска вредонос добавляет исключения в Windows Defender, удаляет системные утилиты защиты, отключает сервисы обновления Windows и внедряет себя в процессы системы. Затем он создаёт сервис, маскирующийся под обновление браузера Google Chrome, и копирует файлы в специально подготовленные каталоги.
Чтобы повысить эффективность добычи криптовалюты, злоумышленники используют драйвер WinRing0.sys, позволяющий получить доступ к низкоуровневым системным ресурсам, включая регистры процессора. Также вредонос анализирует систему, внедряется в процесс explorer.exe и начинает скрытый майнинг, взаимодействуя с доменом dodoloo[.]quest.
Источником заражения стал сайт flibusta[.]su — клон заблокированной пиратской библиотеки. Несмотря на внешнюю схожесть с оригиналом, ресурс содержал встроенный вредоносный скрипт, распространяющий майнеры. Анализ показал, что он адаптируется под тип устройства: если пользователь заходит с телефона — происходит кража паролей, если с компьютера — загружается майнер.
Скрипт определяет устройство, собирает данные о системе, куки и посещённых страницах, после чего отправляет их на удалённый сервер. В случае с ПК скрипт инициирует загрузку архива с вредоносным ПО, который маскируется под книгу. Название архива формируется на основе названия книги, чтобы повысить доверие пользователя.
В рамках расследования специалисты ЦК F6 выявили цепочку аналогичных сайтов, участвующих в кампании: flibusta[.]one, flibusta[.]top, mir-knig[.]xyz, litmir[.]site. Кроме того, аналогичные вредоносные скрипты были обнаружены и на других ресурсах, включая иностранные сайты, что указывает на взлом и заражение серверов.
Анализ популярности ресурсов показал масштаб проблемы. Только по данным Wordstat количество запросов «Флибуста» в месяц достигает 135 тысяч, а суммарная посещаемость сайтов-клонов превышает 10 миллионов визитов за весенние месяцы 2025 года. При этом большинство посетителей заходят с мобильных устройств, что снижает риск заражения, но около 10% заходят с компьютеров, что обеспечивает поток потенциальных жертв.
Таким образом, бесплатные онлайн-библиотеки остаются популярным, но крайне опасным источником заражения. Под видом электронных книг распространяются вредоносные программы, способные превращать устройства в криптовалютные фермы, замедляя их работу и подвергая опасности конфиденциальные данные.
Чтобы минимизировать риски заражения, специалисты рекомендуют регулярно проводить обучение сотрудников по вопросам кибербезопасности, ограничивать использование личных устройств для рабочих задач, применять список разрешённых утилит в корпоративной среде, блокируя прочие программы, а также запрещать самостоятельную установку программ пользователями.
Подробнее:
Весной 2025 года специалисты Центра кибербезопасности F6 (ЦК F6) масштабную волну распространения вредоносного ПО для скрытого майнинга криптовалют. Источником заражения стали бесплатные онлайн-библиотеки электронных книг, в том числе клоны известных пиратских ресурсов.
После блокировки пиратской библиотеки «Флибуста» на территории России ещё в 2016 году, в интернете появилось множество её клонов. Они позволяют загружать книги или их фрагменты без необходимости обходить блокировки. Именно такие сайты и стали площадкой для новой вредоносной кампании. Стоит отметить, что в октябре 2024 года основатель оригинальной «Флибусты», известный как Stiver, в Германии после продолжительной борьбы с глиобластомой.
Весной 2025 года одна из систем F6 зафиксировала подозрительную активность на рабочем устройстве клиента. Внимательный анализ показал, что через PowerShell на компьютере были внесены изменения в исключения Windows Defender, позволяющие скрывать исполняемые файлы. Кроме того, в системе появился подозрительный сервис GoogleUpdateTaskMachineQC, закрепляющий угрозу.
Исследование показало, что заражение началось после того, как пользователь скачал файл с сайта flibusta[.]su. Поведение устройства указывало на работу майнера криптовалюты, скрытого внутри архива с «книгой».
Вредоносный архив содержал легитимный исполняемый файл программы Sandboxie и библиотеку SbieDll.dll, модифицированную для запуска вредоносного кода. Такой подход использует известную технику — загрузку изменённой библиотеки вместо оригинальной, чтобы внедрить вредонос.
Как установили специалисты, SbieDll.dll основана на проекте SilentCryptoMiner, исходный код которого находится в открытом доступе. Это позволило злоумышленникам гибко настраивать функционал, включая маскировку активности и защиту от удаления.
После запуска вредонос добавляет исключения в Windows Defender, удаляет системные утилиты защиты, отключает сервисы обновления Windows и внедряет себя в процессы системы. Затем он создаёт сервис, маскирующийся под обновление браузера Google Chrome, и копирует файлы в специально подготовленные каталоги.
Чтобы повысить эффективность добычи криптовалюты, злоумышленники используют драйвер WinRing0.sys, позволяющий получить доступ к низкоуровневым системным ресурсам, включая регистры процессора. Также вредонос анализирует систему, внедряется в процесс explorer.exe и начинает скрытый майнинг, взаимодействуя с доменом dodoloo[.]quest.
Источником заражения стал сайт flibusta[.]su — клон заблокированной пиратской библиотеки. Несмотря на внешнюю схожесть с оригиналом, ресурс содержал встроенный вредоносный скрипт, распространяющий майнеры. Анализ показал, что он адаптируется под тип устройства: если пользователь заходит с телефона — происходит кража паролей, если с компьютера — загружается майнер.
Скрипт определяет устройство, собирает данные о системе, куки и посещённых страницах, после чего отправляет их на удалённый сервер. В случае с ПК скрипт инициирует загрузку архива с вредоносным ПО, который маскируется под книгу. Название архива формируется на основе названия книги, чтобы повысить доверие пользователя.
В рамках расследования специалисты ЦК F6 выявили цепочку аналогичных сайтов, участвующих в кампании: flibusta[.]one, flibusta[.]top, mir-knig[.]xyz, litmir[.]site. Кроме того, аналогичные вредоносные скрипты были обнаружены и на других ресурсах, включая иностранные сайты, что указывает на взлом и заражение серверов.
Анализ популярности ресурсов показал масштаб проблемы. Только по данным Wordstat количество запросов «Флибуста» в месяц достигает 135 тысяч, а суммарная посещаемость сайтов-клонов превышает 10 миллионов визитов за весенние месяцы 2025 года. При этом большинство посетителей заходят с мобильных устройств, что снижает риск заражения, но около 10% заходят с компьютеров, что обеспечивает поток потенциальных жертв.
Таким образом, бесплатные онлайн-библиотеки остаются популярным, но крайне опасным источником заражения. Под видом электронных книг распространяются вредоносные программы, способные превращать устройства в криптовалютные фермы, замедляя их работу и подвергая опасности конфиденциальные данные.
Чтобы минимизировать риски заражения, специалисты рекомендуют регулярно проводить обучение сотрудников по вопросам кибербезопасности, ограничивать использование личных устройств для рабочих задач, применять список разрешённых утилит в корпоративной среде, блокируя прочие программы, а также запрещать самостоятельную установку программ пользователями.
Подробнее:
