Кампания за криптоджакинг на XMRig
Обширни разследвания разкриха сложна кампания за криптоджакинг, която използва пиратски софтуерни пакети, за да зарази системи с персонализиран XMRig майнер. Операцията разчита до голяма степен на социално инженерство, рекламирайки безплатни премиум приложения, като например кракнати офис пакети, за да привлече потребителите да изтеглят инсталатори, заразени с троянски коне.
Тези злонамерени изпълними файлове служат като основна входна точка. След като бъдат изпълнени, те инициират внимателно организиран процес на заразяване, предназначен да увеличи максимално добива на криптовалута, често за сметка на стабилността на системата. Разчитането на кампанията на измамни тактики за разпространение подчертава продължаващата ефективност на софтуерното пиратство като канал за разпространение на зловреден софтуер.
Съдържание
Модулен двигател за заразяване с множество режими на работа
В основата на атаката се крие многофункционален двоичен файл, който функционира като команден център на жизнения цикъл на инфекцията. Действайки като инсталатор, наблюдател, мениджър на полезния товар и помощна програма за почистване, този компонент контролира внедряването, запазването на данните, наблюдението и потенциалното самопремахване.
Модулният дизайн на зловредния софтуер разделя възможностите за мониторинг от основните полезни натоварвания, отговорни за добив, ескалация на привилегиите и персистентност. Оперативната гъвкавост се постига чрез специфични аргументи на командния ред, които позволяват различни режими на изпълнение:
Без параметър : Извършва валидиране на средата и обработва инсталирането и миграцията в ранен етап.
002 Re:0 : Изпуска основните полезни товари, стартира минера и влиза в цикъл на наблюдение.
016 : Рестартира майнера, ако бъде прекратен.
barusu : Инициира последователност за самоунищожение, прекратявайки компонентите на зловредния софтуер и премахвайки свързаните с тях файлове.
Този структуриран подход за превключване на режими повишава устойчивостта и осигурява устойчива минна дейност, дори когато се предприемат защитни действия.
Вградена логическа бомба и деактивиране с ограничено време
Забележителна характеристика на зловредния софтуер е включването на логическа бомба. Двоичният файл извлича местното време на системата и го сравнява с твърдо кодиран краен срок 23 декември 2025 г.
- Ако бъде изпълнен преди 23 декември 2025 г., зловредният софтуер продължава с инсталиране и внедряване на миньор.
- Ако се изпълни след тази дата, то автоматично се рестартира, използвайки параметъра „barusu“, задействайки контролиран процес на самодеактивиране.
Предварително определеното ограничение предполага, че кампанията е била предназначена да работи непрекъснато до тази дата. Крайният срок може да съответства на изтичането на наетата инфраструктура за командване и контрол, очаквани промени на пазара на криптовалути или стратегически преход към наследник на зловредния софтуер.
Ескалация на привилегиите и оптимизация на добива чрез BYOVD
По време на стандартна рутинна процедура за заразяване, двоичният файл, функциониращ като самостоятелен носител, записва всички необходими компоненти на диска. Сред тях е легитимен изпълним файл на услугата за телеметрия на Windows, който се злоупотребява за странично зареждане на злонамерен DLL файл за копиране.
Използват се и механизми за запазване на уязвимостта, заедно с компоненти, предназначени да деактивират инструментите за сигурност. За да осигури повишени привилегии за изпълнение, зловредният софтуер използва техника „донеси свой собствен уязвим драйвер“ (BYOVD), използвайки дефектния драйвер „WinRing0x64.sys“. Този драйвер е засегнат от CVE-2020-14979, уязвимост с CVSS оценка 7.8, която позволява ескалация на привилегиите.
Чрез директното интегриране на този експлойт в персонализирания XMRig майнер, нападателите получават контрол на ниско ниво върху конфигурациите на процесора. Тази оптимизация увеличава производителността на RandomX майнинга с приблизително 15% до 50%, което значително подобрява рентабилността.
Червееподобно разпространение и странично движение
За разлика от традиционните троянски коне, които зависят единствено от първоначалното изпълнение от потребителя, този вариант на XMRig включва функции за агресивно разпространение. Той се разпространява активно чрез сменяеми устройства за съхранение, което позволява странично движение между системи, включително такива в изолирани среди.
Тази червееподобна способност трансформира зловредния софтуер в саморазпространяваща се заплаха, значително разширявайки обхвата му в организационните мрежи и увеличавайки мащаба на ботнет мрежата.
Оперативен график и стратегически последици
Съдебните доказателства показват периодична минна дейност през целия ноември 2025 г., последвана от забележим скок, започващ на 8 декември 2025 г. Тази тенденция предполага поетапно внедряване или стратегии за активиране, насочени към избягване на ранно откриване.
Кампанията подчертава продължаващата еволюция на масовия зловреден софтуер. Чрез комбиниране на социално инженерство, имитация на легитимен софтуер, разпространение тип „червей“ и експлоатация на ниво ядро, злонамерените лица са създали издръжлива и високоефективна ботнет мрежа за криптовалути, способна на устойчив и оптимизиран добив на криптовалути.
