Легенду превратили в ловушку: имя Флибусты — теперь приманка для жертв
NewsMakerСайт пережил блокировки и смерть основателя, но не пережил вредоносных клонов.
Весной 2025 года специалисты Центра кибербезопасности F6 (ЦК F6) выявили масштабную волну распространения вредоносного ПО для скрытого майнинга криптовалют. Источником заражения стали бесплатные онлайн-библиотеки электронных книг, в том числе клоны известных пиратских ресурсов.
После блокировки пиратской библиотеки «Флибуста» на территории России ещё в 2016 году, в интернете появилось множество её клонов. Они позволяют загружать книги или их фрагменты без необходимости обходить блокировки. Именно такие сайты и стали площадкой для новой вредоносной кампании. Стоит отметить, что в октябре 2024 года основатель оригинальной «Флибусты», известный как Stiver, скончался в Германии после продолжительной борьбы с глиобластомой.
Весной 2025 года одна из систем F6 зафиксировала подозрительную активность на рабочем устройстве клиента. Внимательный анализ показал, что через PowerShell на компьютере были внесены изменения в исключения антивируса Windows Defender, позволяющие скрывать исполняемые файлы. Кроме того, в системе появился подозрительный сервис GoogleUpdateTaskMachineQC, закрепляющий угрозу.
Исследование показало, что заражение началось после того, как пользователь скачал файл с сайта flibusta[.]su. Поведение устройства указывало на работу майнера криптовалюты, скрытого внутри архива с «книгой».
Вредоносный архив содержал легитимный исполняемый файл программы Sandboxie и библиотеку SbieDll.dll, модифицированную для запуска вредоносного кода. Такой подход использует известную технику DLL Sideloading — загрузку изменённой библиотеки вместо оригинальной, чтобы внедрить вредонос.
Как установили специалисты, SbieDll.dll основана на проекте SilentCryptoMiner, исходный код которого находится в открытом доступе. Это позволило злоумышленникам гибко настраивать функционал, включая маскировку активности и защиту от удаления.
После запуска вредонос добавляет исключения в Windows Defender, удаляет системные утилиты защиты, отключает сервисы обновления Windows и внедряет себя в процессы системы. Затем он создаёт сервис, маскирующийся под обновление браузера Google Chrome, и копирует файлы в специально подготовленные каталоги.
Чтобы повысить эффективность добычи криптовалюты, злоумышленники используют драйвер WinRing0.sys, позволяющий получить доступ к низкоуровневым системным ресурсам, включая регистры процессора. Также вредонос анализирует систему, внедряется в процесс explorer.exe и начинает скрытый майнинг, взаимодействуя с доменом dodoloo[.]quest.
Источником заражения стал сайт flibusta[.]su — клон заблокированной пиратской библиотеки. Несмотря на внешнюю схожесть с оригиналом, ресурс содержал встроенный вредоносный скрипт, распространяющий майнеры. Анализ показал, что он адаптируется под тип устройства: если пользователь заходит с телефона — происходит кража паролей, если с компьютера — загружается майнер.
Скрипт определяет устройство, собирает данные о системе, куки и посещённых страницах, после чего отправляет их на удалённый сервер. В случае с ПК скрипт инициирует загрузку архива с вредоносным ПО, который маскируется под книгу. Название архива формируется на основе названия книги, чтобы повысить доверие пользователя.
В рамках расследования специалисты ЦК F6 выявили цепочку аналогичных сайтов, участвующих в кампании: flibusta[.]one, flibusta[.]top, mir-knig[.]xyz, litmir[.]site. Кроме того, аналогичные вредоносные скрипты были обнаружены и на других ресурсах, включая иностранные сайты, что указывает на взлом и заражение серверов.
Анализ популярности ресурсов показал масштаб проблемы. Только по данным Wordstat количество запросов «Флибуста» в месяц достигает 135 тысяч, а суммарная посещаемость сайтов-клонов превышает 10 миллионов визитов за весенние месяцы 2025 года. При этом большинство посетителей заходят с мобильных устройств, что снижает риск заражения, но около 10% заходят с компьютеров, что обеспечивает поток потенциальных жертв.
Таким образом, бесплатные онлайн-библиотеки остаются популярным, но крайне опасным источником заражения. Под видом электронных книг распространяются вредоносные программы, способные превращать устройства в криптовалютные фермы, замедляя их работу и подвергая опасности конфиденциальные данные.
Чтобы минимизировать риски заражения, специалисты рекомендуют:
Весной 2025 года специалисты Центра кибербезопасности F6 (ЦК F6) выявили масштабную волну распространения вредоносного ПО для скрытого майнинга криптовалют. Источником заражения стали бесплатные онлайн-библиотеки электронных книг, в том числе клоны известных пиратских ресурсов.
После блокировки пиратской библиотеки «Флибуста» на территории России ещё в 2016 году, в интернете появилось множество её клонов. Они позволяют загружать книги или их фрагменты без необходимости обходить блокировки. Именно такие сайты и стали площадкой для новой вредоносной кампании. Стоит отметить, что в октябре 2024 года основатель оригинальной «Флибусты», известный как Stiver, скончался в Германии после продолжительной борьбы с глиобластомой.
Весной 2025 года одна из систем F6 зафиксировала подозрительную активность на рабочем устройстве клиента. Внимательный анализ показал, что через PowerShell на компьютере были внесены изменения в исключения антивируса Windows Defender, позволяющие скрывать исполняемые файлы. Кроме того, в системе появился подозрительный сервис GoogleUpdateTaskMachineQC, закрепляющий угрозу.
Исследование показало, что заражение началось после того, как пользователь скачал файл с сайта flibusta[.]su. Поведение устройства указывало на работу майнера криптовалюты, скрытого внутри архива с «книгой».
Вредоносный архив содержал легитимный исполняемый файл программы Sandboxie и библиотеку SbieDll.dll, модифицированную для запуска вредоносного кода. Такой подход использует известную технику DLL Sideloading — загрузку изменённой библиотеки вместо оригинальной, чтобы внедрить вредонос.
Как установили специалисты, SbieDll.dll основана на проекте SilentCryptoMiner, исходный код которого находится в открытом доступе. Это позволило злоумышленникам гибко настраивать функционал, включая маскировку активности и защиту от удаления.
После запуска вредонос добавляет исключения в Windows Defender, удаляет системные утилиты защиты, отключает сервисы обновления Windows и внедряет себя в процессы системы. Затем он создаёт сервис, маскирующийся под обновление браузера Google Chrome, и копирует файлы в специально подготовленные каталоги.
Чтобы повысить эффективность добычи криптовалюты, злоумышленники используют драйвер WinRing0.sys, позволяющий получить доступ к низкоуровневым системным ресурсам, включая регистры процессора. Также вредонос анализирует систему, внедряется в процесс explorer.exe и начинает скрытый майнинг, взаимодействуя с доменом dodoloo[.]quest.
Источником заражения стал сайт flibusta[.]su — клон заблокированной пиратской библиотеки. Несмотря на внешнюю схожесть с оригиналом, ресурс содержал встроенный вредоносный скрипт, распространяющий майнеры. Анализ показал, что он адаптируется под тип устройства: если пользователь заходит с телефона — происходит кража паролей, если с компьютера — загружается майнер.
Скрипт определяет устройство, собирает данные о системе, куки и посещённых страницах, после чего отправляет их на удалённый сервер. В случае с ПК скрипт инициирует загрузку архива с вредоносным ПО, который маскируется под книгу. Название архива формируется на основе названия книги, чтобы повысить доверие пользователя.
В рамках расследования специалисты ЦК F6 выявили цепочку аналогичных сайтов, участвующих в кампании: flibusta[.]one, flibusta[.]top, mir-knig[.]xyz, litmir[.]site. Кроме того, аналогичные вредоносные скрипты были обнаружены и на других ресурсах, включая иностранные сайты, что указывает на взлом и заражение серверов.
Анализ популярности ресурсов показал масштаб проблемы. Только по данным Wordstat количество запросов «Флибуста» в месяц достигает 135 тысяч, а суммарная посещаемость сайтов-клонов превышает 10 миллионов визитов за весенние месяцы 2025 года. При этом большинство посетителей заходят с мобильных устройств, что снижает риск заражения, но около 10% заходят с компьютеров, что обеспечивает поток потенциальных жертв.
Таким образом, бесплатные онлайн-библиотеки остаются популярным, но крайне опасным источником заражения. Под видом электронных книг распространяются вредоносные программы, способные превращать устройства в криптовалютные фермы, замедляя их работу и подвергая опасности конфиденциальные данные.
Чтобы минимизировать риски заражения, специалисты рекомендуют:
- регулярно проводить обучение сотрудников по вопросам кибербезопасности;
- ограничивать использование личных устройств для рабочих задач;
- применять список разрешённых утилит в корпоративной среде, блокируя прочие программы;
- запрещать самостоятельную установку программ пользователями.