Rabattilbud med flere licenser
Trusseldatabase Malware XMRig Cryptojacking-kampagne

XMRig Cryptojacking-kampagne

Med Mezo i Malware, Advanced Persistent Threat (APT)
Oversæt til:

Omfattende undersøgelser har afsløret en sofistikeret kryptojacking-kampagne, der udnytter piratkopierede softwarepakker til at inficere systemer med en tilpasset XMRig-miner. Operationen er i høj grad afhængig af social engineering, hvor man reklamerer for gratis premium-applikationer, såsom crackede kontorproduktivitetspakker, for at lokke brugere til at downloade trojanske installationsprogrammer.

Disse ondsindede eksekverbare filer fungerer som det primære indgangspunkt. Når de er udført, starter de en omhyggeligt orkestreret infektionsproces, der er designet til at maksimere outputtet fra kryptovalutaudvinding, ofte på bekostning af systemstabilitet. Kampagnens afhængighed af vildledende distributionstaktikker understreger den fortsatte effektivitet af softwarepirateri som en leveringskanal for malware.

En modulær infektionsmotor med flere driftstilstande

Kernen i angrebet ligger en multifunktionel binær fil, der fungerer som kommandocenter for infektionens livscyklus. Denne komponent fungerer som installationsprogram, vagthund, nyttelastadministrator og oprydningsværktøj og overvåger implementering, persistens, overvågning og potentiel selvfjernelse.

Malwarens modulære design adskiller overvågningsfunktioner fra kerne-nyttelaster, der er ansvarlige for mining, privilegieeskalering og persistens. Operationel fleksibilitet opnås gennem specifikke kommandolinjeargumenter, der muliggør forskellige udførelsestilstande:

Ingen parameter : Udfører miljøvalidering og håndterer installation og migrering i den tidlige fase.

002 Re:0 : Dropper de primære nyttelaster, starter mineren og går ind i en overvågningsløkke.

016 : Genstarter mineren, hvis den afsluttes.

barusu : Starter en selvdestruktionssekvens, afslutter malware-komponenter og fjerner tilhørende filer.

Denne strukturerede tilstandsskiftetilgang forbedrer modstandsdygtigheden og sikrer vedvarende minedrift, selv når der træffes defensive handlinger.

Indlejret logisk bombe og tidsbestemt nedlukning

Et bemærkelsesværdigt kendetegn ved malwaren er inkluderingen af en logisk bombe. Den binære fil henter systemets lokale tid og sammenligner den med en fastlagt deadline den 23. december 2025.

  • Hvis malwaren udføres før den 23. december 2025, fortsætter den med persistensinstallation og miner-implementering.
  • Hvis den udføres efter denne dato, genstarter den automatisk sig selv ved hjælp af parameteren 'barusu', hvilket udløser en kontrolleret selvafviklingsproces.

Den foruddefinerede deadline antyder, at kampagnen var tiltænkt at køre kontinuerligt indtil denne dato. Deadline kan svare til udløbet af lejet kommando- og kontrolinfrastruktur, forventede ændringer i kryptovalutamarkedet eller en strategisk overgang til en efterfølgende malware-stamme.

Privilegieeskalering og miningoptimering via BYOVD

Under en standard infektionsrutine skriver den binære fil, der fungerer som en selvstændig bærer, alle nødvendige komponenter til disken. Blandt disse er en legitim eksekverbar Windows Telemetry-tjeneste, som misbruges til at sideloade den ondsindede miner-DLL.

Der implementeres også persistensmekanismer sammen med komponenter designet til at deaktivere sikkerhedsværktøjer. For at sikre forhøjede udførelsesrettigheder anvender malwaren en BYOVD-teknik (bring-your-own-vulnerable-driver) ved hjælp af den fejlbehæftede driver 'WinRing0x64.sys'. Denne driver er påvirket af CVE-2020-14979, en sårbarhed med en CVSS-score på 7,8, der tillader rettighedseskalering.

Ved at integrere denne udnyttelse direkte i den tilpassede XMRig-miner, får angriberne lavkontrol over CPU-konfigurationer. Denne optimering øger RandomX-miningydelsen med cirka 15% til 50%, hvilket forbedrer rentabiliteten betydeligt.

Ormelignende forplantning og lateral bevægelse

I modsætning til traditionelle trojanske heste, der udelukkende afhænger af den indledende brugerudførelse, inkorporerer denne XMRig-variant aggressive spredningsfunktioner. Den spredes aktivt via flytbare lagerenheder, hvilket muliggør lateral bevægelse på tværs af systemer, inklusive dem i miljøer med begrænset adgang til internettet.

Denne ormelignende evne forvandler malwaren til en selvspredende trussel, hvilket udvider dens rækkevidde inden for organisatoriske netværk betydeligt og øger botnettets skala.

Operationel tidslinje og strategiske implikationer

Retsmedicinske beviser tyder på periodisk minedrift i hele november 2025, efterfulgt af en markant stigning startende den 8. december 2025. Dette mønster tyder på fasede implementerings- eller aktiveringsstrategier, der sigter mod at undgå tidlig opdagelse.

Kampagnen understreger den igangværende udvikling af almindelig malware. Ved at kombinere social engineering, legitim softwareefterligning, ormelignende udbredelse og udnyttelse på kerneniveau har trusselsaktørerne konstrueret et holdbart og højtydende kryptojacking-botnet, der er i stand til vedvarende og optimeret kryptovalutamining.

Trending

Mest sete

Indlæser...