Kampaň proti kryptoměnám XMRig
Rozsáhlé vyšetřování odhalilo sofistikovanou kampaň zaměřenou na kryptojacking, která využívá pirátské softwarové balíčky k infikování systémů upraveným minerem XMRig. Tato operace se silně spoléhá na sociální inženýrství a propaguje bezplatné prémiové aplikace, jako jsou například cracknuté kancelářské balíky, aby nalákala uživatele ke stažení instalačních balíčků napadených trojskými koňmi.
Tyto škodlivé spustitelné soubory slouží jako primární vstupní bod. Po spuštění spustí pečlivě zorganizovaný proces infekce, jehož cílem je maximalizovat výkon těžby kryptoměn, často na úkor stability systému. Spoléhání kampaně na klamavé distribuční taktiky zdůrazňuje pokračující efektivitu softwarového pirátství jako kanálu pro distribuci malwaru.
Obsah
Modulární infekční engine s více provozními režimy
Jádrem útoku je multifunkční binární soubor, který funguje jako velitelské centrum životního cyklu infekce. Tato komponenta, která funguje jako instalační program, hlídací program, správce dat a čisticí nástroj, dohlíží na nasazení, perzistenci, monitorování a potenciální samoodstranění.
Modulární design malwaru odděluje monitorovací funkce od základních dat zodpovědných za těžbu, eskalaci oprávnění a perzistenci. Provozní flexibility je dosaženo pomocí specifických argumentů příkazového řádku, které umožňují různé režimy spouštění:
Bez parametru : Provádí ověření prostředí a zpracovává instalaci a migraci v rané fázi.
002 Re:0 : Odstraní primární datové části, spustí těžařský program a vstoupí do monitorovací smyčky.
016 : Restartuje těžaře, pokud je ukončen.
barusu : Zahájí autodestrukční sekvenci, ukončí komponenty malwaru a odstraní související soubory.
Tento strukturovaný přístup k přepínání režimů zvyšuje odolnost a zajišťuje trvalou těžební aktivitu i při obranných opatřeních.
Vestavěná logická bomba a časované vyřazení z provozu
Pozoruhodnou charakteristikou malwaru je jeho logická bomba. Binární soubor načítá místní čas systému a porovnává ho s pevně zakódovaným termínem 23. prosince 2025.
- Pokud je malware spuštěn před 23. prosincem 2025, pokračuje v trvalé instalaci a nasazení těžaře.
- Pokud se provede po tomto datu, automaticky se znovu spustí pomocí parametru „barusu“, čímž se spustí řízený proces samovyřazení z provozu.
Předdefinovaný limit naznačuje, že kampaň měla probíhat nepřetržitě do tohoto data. Termín může odpovídat vypršení platnosti pronajaté infrastruktury velení a řízení, očekávaným změnám na trhu s kryptoměnami nebo strategickému přechodu na nástupnický kmen malwaru.
Eskalace oprávnění a optimalizace těžby pomocí BYOVD
Během standardního infekčního procesu binární soubor, který funguje jako samostatný nosič, zapíše všechny potřebné komponenty na disk. Mezi nimi je i legitimní spustitelný soubor služby Windows Telemetry, který je zneužit k načtení škodlivé knihovny DLL pro těžbu.
Jsou také nasazeny mechanismy perzistence spolu s komponentami určenými k deaktivaci bezpečnostních nástrojů. Pro zajištění zvýšených oprávnění ke spuštění používá malware techniku BYOVD (bring-your-own-vulnerable-driver) s použitím chybného ovladače „WinRing0x64.sys“. Tento ovladač je ovlivněn zranitelností CVE-2020-14979 se skóre CVSS 7,8, která umožňuje eskalaci oprávnění.
Integrací tohoto exploitu přímo do upraveného mineru XMRig získají útočníci nízkoúrovňovou kontrolu nad konfigurací CPU. Tato optimalizace zvyšuje výkon těžby RandomX přibližně o 15 % až 50 %, což výrazně zlepšuje ziskovost.
Šíření a laterální pohyb jako červ
Na rozdíl od tradičních trojských koní, které se spoléhají výhradně na počáteční spuštění uživatelem, tato varianta XMRig obsahuje prvky agresivního šíření. Aktivně se šíří prostřednictvím vyměnitelných úložných zařízení, což umožňuje laterální pohyb mezi systémy, včetně těch v prostředích s ochrannou mezerou.
Tato schopnost podobná červům transformuje malware na samovolně se šířící hrozbu, čímž podstatně rozšiřuje svůj dosah v rámci organizačních sítí a zvyšuje rozsah botnetů.
Operační časový harmonogram a strategické důsledky
Forenzní důkazy naznačují přerušovanou těžební aktivitu v průběhu celého listopadu 2025, po níž následoval výrazný nárůst od 8. prosince 2025. Tento vzorec naznačuje strategie postupného nasazení nebo aktivace, jejichž cílem je zabránit včasnému odhalení.
Kampaň podtrhuje pokračující vývoj komoditního malwaru. Kombinací sociálního inženýrství, vydávání se za legitimní software, šíření ve stylu červů a zneužívání na úrovni jádra vytvořili útočníci odolný a vysoce výkonný botnet pro kryptojacking schopný trvalé a optimalizované těžby kryptoměn.
