کمپین کریپتوجکینگ XMRig

تحقیقات گسترده، یک کمپین پیچیده‌ی کریپتوجکینگ را کشف کرده است که از بسته‌های نرم‌افزاری غیرقانونی برای آلوده کردن سیستم‌ها با یک ماینر سفارشی XMRig استفاده می‌کند. این عملیات به شدت به مهندسی اجتماعی متکی است و برنامه‌های پریمیوم رایگان، مانند مجموعه‌های کرک‌شده‌ی آفیس را تبلیغ می‌کند تا کاربران را به دانلود نصب‌کننده‌های تروجان‌دار ترغیب کند.

این فایل‌های اجرایی مخرب به عنوان نقطه ورود اصلی عمل می‌کنند. پس از اجرا، آنها یک فرآیند آلودگی با دقت هماهنگ شده را آغاز می‌کنند که برای به حداکثر رساندن خروجی استخراج ارز دیجیتال طراحی شده است، که اغلب به قیمت از دست رفتن ثبات سیستم تمام می‌شود. اتکای این کمپین به تاکتیک‌های توزیع فریبنده، اثربخشی مداوم سرقت نرم‌افزار را به عنوان یک کانال توزیع بدافزار برجسته می‌کند.

یک موتور آلوده‌سازی ماژولار با حالت‌های عملیاتی چندگانه

در هسته‌ی حمله، یک فایل باینری چندمنظوره قرار دارد که به عنوان مرکز فرماندهی چرخه‌ی آلودگی عمل می‌کند. این مؤلفه که به عنوان نصب‌کننده، نگهبان، مدیر بار داده و ابزار پاکسازی عمل می‌کند، بر استقرار، ماندگاری، نظارت و خودحذفی احتمالی نظارت دارد.

طراحی ماژولار این بدافزار، قابلیت‌های نظارتی را از پیلودهای اصلی مسئول استخراج، افزایش امتیاز و پایداری جدا می‌کند. انعطاف‌پذیری عملیاتی از طریق آرگومان‌های خط فرمان خاص که حالت‌های اجرای متمایزی را فعال می‌کنند، حاصل می‌شود:

بدون پارامتر : اعتبارسنجی محیط را انجام می‌دهد و نصب و مهاجرت در مراحل اولیه را مدیریت می‌کند.

002 پاسخ:0 : بارهای داده اولیه را رها می‌کند، ماینر را اجرا می‌کند و وارد یک حلقه نظارتی می‌شود.

016 : در صورت خاتمه یافتن ماینر، آن را مجدداً راه‌اندازی می‌کند.

barusu : یک توالی خود تخریبی را آغاز می‌کند، اجزای بدافزار را از بین می‌برد و فایل‌های مرتبط را حذف می‌کند.

این رویکرد ساختاریافته‌ی تغییر حالت، انعطاف‌پذیری را افزایش می‌دهد و فعالیت پایدار استخراج را حتی در صورت انجام اقدامات دفاعی تضمین می‌کند.

بمب منطقی جاسازی‌شده و انهدام زمان‌بندی‌شده

یکی از ویژگی‌های قابل توجه این بدافزار، وجود یک بمب منطقی است. این فایل باینری، زمان محلی سیستم را بازیابی کرده و آن را با یک مهلت تعیین‌شده‌ی 23 دسامبر 2025 مقایسه می‌کند.

• اگر این بدافزار قبل از ۲۳ دسامبر ۲۰۲۵ اجرا شود، به نصب پایدار و استقرار ماینر ادامه می‌دهد.
• اگر پس از این تاریخ اجرا شود، به‌طور خودکار با استفاده از پارامتر 'barusu' خود را مجدداً راه‌اندازی می‌کند و یک فرآیند خود-از-کارافتادگی کنترل‌شده را آغاز می‌کند.

این مهلت از پیش تعیین‌شده نشان می‌دهد که این کمپین قرار بوده تا آن تاریخ به‌طور مداوم فعالیت کند. این مهلت ممکن است مربوط به انقضای زیرساخت‌های کنترل و فرمان اجاره‌ای، تغییرات پیش‌بینی‌شده در بازار ارزهای دیجیتال یا گذار استراتژیک به یک گونه بدافزار جایگزین باشد.

افزایش امتیاز و بهینه‌سازی استخراج از طریق BYOVD

در طول یک روال استاندارد آلودگی، فایل باینری، که به عنوان یک حامل مستقل عمل می‌کند، تمام اجزای لازم را روی دیسک می‌نویسد. در میان این اجزا، یک فایل اجرایی قانونی سرویس تله‌متری ویندوز وجود دارد که برای بارگذاری جانبی DLL مخرب ماینر مورد سوءاستفاده قرار می‌گیرد.

مکانیسم‌های پایداری نیز به همراه مؤلفه‌هایی که برای غیرفعال کردن ابزارهای امنیتی طراحی شده‌اند، مستقر شده‌اند. برای اطمینان از افزایش امتیازات اجرایی، این بدافزار از تکنیک bring-your-own-vulnerable-driver (BYOVD) با استفاده از درایور معیوب 'WinRing0x64.sys' استفاده می‌کند. این درایور تحت تأثیر CVE-2020-14979 قرار دارد، یک آسیب‌پذیری با امتیاز CVSS 7.8 که امکان افزایش امتیاز را فراهم می‌کند.

با ادغام مستقیم این اکسپلویت در ماینر سفارشی XMRig، مهاجمان کنترل سطح پایینی بر پیکربندی‌های CPU به دست می‌آورند. این بهینه‌سازی عملکرد ماینینگ RandomX را تقریباً ۱۵ تا ۵۰ درصد افزایش می‌دهد و سودآوری را به طور قابل توجهی بهبود می‌بخشد.

انتشار کرم مانند و حرکت جانبی

برخلاف تروجان‌های سنتی که صرفاً به اجرای اولیه کاربر وابسته هستند، این نوع XMRig ویژگی‌های انتشار تهاجمی را در خود جای داده است. این تروجان به‌طور فعال از طریق دستگاه‌های ذخیره‌سازی قابل جابجایی پخش می‌شود و امکان حرکت جانبی در سراسر سیستم‌ها، از جمله سیستم‌های موجود در محیط‌های ایزوله (air-gapped)، را فراهم می‌کند.

این قابلیت کرم‌مانند، بدافزار را به یک تهدید خودتکثیرشونده تبدیل می‌کند و به‌طور قابل‌توجهی دسترسی آن را در شبکه‌های سازمانی گسترش می‌دهد و مقیاس بات‌نت را افزایش می‌دهد.

جدول زمانی عملیاتی و پیامدهای استراتژیک

شواهد پزشکی قانونی نشان می‌دهد که فعالیت ماینینگ در طول نوامبر ۲۰۲۵ به صورت متناوب بوده و پس از آن، افزایش قابل توجهی از ۸ دسامبر ۲۰۲۵ آغاز شده است. این الگو، استراتژی‌های استقرار یا فعال‌سازی مرحله‌ای را با هدف جلوگیری از تشخیص زودهنگام پیشنهاد می‌کند.

این کمپین، تکامل مداوم بدافزارهای کاربردی را برجسته می‌کند. با ترکیب مهندسی اجتماعی، جعل هویت نرم‌افزارهای قانونی، انتشار به سبک کرم و بهره‌برداری در سطح هسته، عاملان تهدید، یک بات‌نت کریپتوجکینگ بادوام و با کارایی بالا را طراحی کرده‌اند که قادر به استخراج پایدار و بهینه ارزهای دیجیتال است.