Cotització de descompte per a múltiples llicències
Base de dades d'amenaces Programari maliciós Campanya de criptojacking de XMRig

Campanya de criptojacking de XMRig

El Mezo el Programari maliciós, Amenaça persistent avançada (APT)
Traduir a:

Investigacions exhaustives han descobert una sofisticada campanya de cryptojacking que aprofita paquets de programari pirata per infectar sistemes amb un miner XMRig personalitzat. L'operació es basa en gran mesura en l'enginyeria social, publicitant aplicacions premium gratuïtes, com ara suites de productivitat d'oficina piratejades, per atraure els usuaris a descarregar instal·ladors troians.

Aquests executables maliciosos serveixen com a punt d'entrada principal. Un cop executats, inicien un procés d'infecció acuradament orquestrat dissenyat per maximitzar la producció de mineria de criptomonedes, sovint a costa de l'estabilitat del sistema. La confiança de la campanya en tàctiques de distribució enganyoses posa de manifest l'eficàcia contínua de la pirateria de programari com a canal de distribució de programari maliciós.

Un motor d’infecció modular amb múltiples modes operatius

Al centre de l'atac hi ha un binari multifuncional que funciona com a centre de comandament del cicle de vida de la infecció. Actuant com a instal·lador, vigilància, gestor de càrrega útil i utilitat de neteja, aquest component supervisa el desplegament, la persistència, la supervisió i la possible autoeliminació.

El disseny modular del programari maliciós separa les capacitats de monitorització de les càrregues útils principals responsables de la mineria, l'escalada de privilegis i la persistència. La flexibilitat operativa s'aconsegueix mitjançant arguments específics de línia d'ordres que permeten diferents modes d'execució:

Sense paràmetre : realitza la validació de l'entorn i gestiona la instal·lació i la migració en fase inicial.

002 Re:0 : Elimina les càrregues útils principals, inicia el miner i entra en un bucle de monitorització.

016 : Reinicia el miner si s'ha finalitzat.

barusu : Inicia una seqüència d'autodestrucció, eliminant els components de programari maliciós i els fitxers associats.

Aquest enfocament estructurat de canvi de mode millora la resiliència i garanteix una activitat minera sostinguda fins i tot quan es prenen accions defensives.

Bomba lògica integrada i desmantellament temporitzat

Una característica destacable del programari maliciós és la inclusió d'una bomba lògica. El binari recupera l'hora local del sistema i la compara amb una data límit codificada del 23 de desembre de 2025.

  • Si s'executa abans del 23 de desembre de 2025, el programari maliciós continua amb la instal·lació de la persistència i el desplegament del miner.
  • Si s'executa després d'aquesta data, es reinicia automàticament mitjançant el paràmetre 'barusu', activant un procés controlat d'autodesactivació.

El límit predefinit suggereix que la campanya estava pensada per funcionar de manera contínua fins a aquella data. La data límit pot correspondre a l'expiració de la infraestructura de comandament i control llogada, canvis previstos al mercat de criptomonedes o una transició estratègica a una soca de programari maliciós successora.

Escalada de privilegis i optimització de mineria mitjançant BYOVD

Durant una rutina d'infecció estàndard, el binari, que funciona com un portador autònom, escriu tots els components necessaris al disc. Entre aquests hi ha un executable legítim del servei de telemetria de Windows, que s'abusa per carregar lateralment la DLL maliciosa del miner.

També es despleguen mecanismes de persistència, juntament amb components dissenyats per desactivar les eines de seguretat. Per garantir privilegis d'execució elevats, el programari maliciós utilitza una tècnica de "bring-your-own-vulnerable-driver" (BYOVD) utilitzant el controlador defectuós "WinRing0x64.sys". Aquest controlador està afectat per CVE-2020-14979, una vulnerabilitat amb una puntuació CVSS de 7,8 que permet l'escalada de privilegis.

En integrar aquest exploit directament al miner XMRig personalitzat, els atacants obtenen un control de baix nivell sobre les configuracions de la CPU. Aquesta optimització augmenta el rendiment de la mineria de RandomX aproximadament entre un 15% i un 50%, millorant significativament la rendibilitat.

Propagació semblant a un cuc i moviment lateral

A diferència dels troians tradicionals que depenen únicament de l'execució inicial de l'usuari, aquesta variant d'XMRig incorpora funcions de propagació agressives. Es propaga activament a través de dispositius d'emmagatzematge extraïbles, cosa que permet el moviment lateral entre sistemes, inclosos els que es troben en entorns amb espais d'aire.

Aquesta capacitat, semblant a un cuc, transforma el programari maliciós en una amenaça que s'autopropaga, ampliant substancialment el seu abast dins de les xarxes organitzatives i augmentant l'escala de les botnets.

Cronologia operativa i implicacions estratègiques

L'evidència forense indica activitat minera intermitent durant tot el novembre de 2025, seguida d'un augment marcat a partir del 8 de desembre de 2025. Aquest patró suggereix estratègies de desplegament o activació graduals destinades a evitar la detecció precoç.

La campanya subratlla l'evolució contínua del programari maliciós bàsic. Combinant l'enginyeria social, la suplantació de programari legítima, la propagació a l'estil de cuc i l'explotació a nivell de nucli, els actors de les amenaces han dissenyat una xarxa de bots de criptojacking duradora i d'alt rendiment capaç de mineria de criptomonedes de manera sostinguda i optimitzada.

Tendència

S'ha preparat un document privat. Estafa per correu...

Phishing, Correu brossa
En el panorama actual de les amenaces, és essencial ser prudent a l'hora de gestionar correus electrònics no sol·licitats o inesperats. Els ciberdelinqüents sovint disfressen els missatges fraudulents de comunicacions legítimes per manipular els destinataris perquè revelin informació confidencial. Els anomenats correus electrònics de "S'ha preparat un document privat" no estan associats a cap...

American Express - Estafa per correu electrònic: cal...

Phishing, Correu brossa
Mantenir-se alerta quan es tracta de correus electrònics inesperats és essencial en l'entorn digital actual. Els ciberdelinqüents sovint suplanten la identitat de marques de confiança per enganyar els destinataris perquè revelin informació confidencial. L'anomenada estafa de correu electrònic American Express - Account Access Update Needed Email Scam és una d'aquestes campanyes de phishing....

Més vist

Carregant...