За атаки ответственна группа хакеров, которую в "Лаборатории Касперского" назвали Librarian Ghouls. В рамках этой кампании ее члены активны с 01:00 до 05:00 (время - местное) и атакуют сотрудников производственных предприятий и технических вузов. Группировка ранее была замечена за проведением сложных атак на выбранные цели в РФ и странах СНГ, ее "арсенал" обычно состоит из легального ПО.
Цель атак в рамках "ночной" кампании - добиться получения удаленного доступа к устройствам и заполучить учетные данные. В зараженные ПК хакеры устанавливают майнер для нелегальной добычи криптовалюты. Также, предполагают исследователи, у группы появились фишинговые сайты, мимикрирующие под "известный российский почтовый сервис".
Атака начинается с фишинговых писем, содержащих вредоносные архивы, защищенные паролем. Будучи открытым, распакованным и запущенным, содержимое из архива перемещается в одну из папок на ПК, после чего возможно удаленное управление устройством. Также хакеры используют алгоритм действий, позволяющий им скрыть свое присутствие в системе.
Вредоносное ПО на зараженном ПК активируется в 01:00 по местному времени, а уже в 05:00 хакеры выключают ПК с помощью планировщика задач. За 4 часа преступники успевают с помощью своего ПО собрать и отправить себе учетные данные и ключевые фразы криптовалютных кошельков.