קמפיין חטיפת קריפטו של XMRig

חקירות נרחבות חשפו קמפיין קריפטו-ג'ק מתוחכם הממנפ חבילות תוכנה פיראטיות כדי להדביק מערכות באמצעות כורה XMRig מותאם אישית. הפעולה מסתמכת במידה רבה על הנדסה חברתית, פרסום אפליקציות פרימיום בחינם, כגון חבילות פרודוקטיביות משרדיות פרוצים, כדי לפתות משתמשים להוריד תוכנות התקנה טרויאניות.

קבצי הרצה זדוניים אלה משמשים כנקודת כניסה עיקרית. לאחר ההפעלה, הם מתחילים תהליך הדבקה מתוכנן בקפידה שנועד למקסם את תפוקת כריית הקריפטו, לעתים קרובות על חשבון יציבות המערכת. הסתמכות הקמפיין על טקטיקות הפצה מטעות מדגישה את היעילות המתמשכת של פיראטיות תוכנה כערוץ העברת תוכנות זדוניות.

מנוע זיהום מודולרי עם מצבי פעולה מרובים

בליבת ההתקפה נמצא קובץ בינארי רב-תכליתי הפועל כמרכז הפיקוד של מחזור החיים של הזיהום. רכיב זה, הפועל כמתקין, כלב שמירה, מנהל מטען וכלי ניקוי, מפקח על פריסה, שמירה, ניטור והסרה עצמית אפשרית.

העיצוב המודולרי של הנוזקה מפריד בין יכולות הניטור לבין מטענים מרכזיים האחראים על כרייה, הסלמת הרשאות והתמדה. גמישות תפעולית מושגת באמצעות ארגומנטים ספציפיים בשורת הפקודה המאפשרים מצבי ביצוע שונים:

ללא פרמטר : מבצע אימות סביבה ומטפל בהתקנה ובהעברה בשלבים מוקדמים.

002 Re:0 : מפזר את המטענים העיקריים, מפעיל את הכורה ונכנס ללולאת ניטור.

016 : מפעיל מחדש את הכורה אם הוא הסתיים.

barusu : מפעיל רצף השמדה עצמית, מסיים רכיבי תוכנה זדונית ומסיר קבצים קשורים.

גישת החלפת מצבים מובנית זו משפרת את החוסן ומבטיחה פעילות כרייה מתמשכת גם כאשר ננקטות פעולות הגנתיות.

פצצת לוגיקה משובצת ופירוק מתוזמן

מאפיין בולט של הנוזקה הוא הכללתה של פצצת לוגיקה. הקובץ הבינארי מאחזר את השעה המקומית של המערכת ומשווה אותה למועד אחרון קבוע בקוד של 23 בדצמבר 2025.

• אם בוצעה לפני 23 בדצמבר 2025, התוכנה הזדונית ממשיכה עם התקנה מתמדת ופריסת כורה.
• אם הוא יבוצע לאחר תאריך זה, הוא יופעל מחדש באופן אוטומטי באמצעות הפרמטר 'barusu', מה שמפעיל תהליך מבוקר של השבתה עצמית.

מועד הסיום המוגדר מראש מצביע על כך שהקמפיין נועד לפעול ברציפות עד תאריך זה. מועד הסיום עשוי להתאים לפקיעת תשתית הפיקוד והשליטה השכורה, לשינויים צפויים בשוק הקריפטו, או למעבר אסטרטגי לזן תוקף של תוכנה זדונית.

הסלמת הרשאות ואופטימיזציה של כרייה באמצעות BYOVD

במהלך שגרת הדבקה סטנדרטית, הקובץ הבינארי, המתפקד כגורם עצמאי, כותב את כל הרכיבים הדרושים לדיסק. בין אלה נמצאת תוכנית הפעלה לגיטימית של שירות טלמטריה של Windows, אשר מנוצלת לרעה כדי לטעון בצד את קובץ ה-DLL הזדוני של הכורה.

מנגנוני התמדה נפרסים גם כן, יחד עם רכיבים שנועדו להשבית כלי אבטחה. כדי להבטיח הרשאות ביצוע מוגברות, התוכנה הזדונית משתמשת בטכניקת BYOVD (bring-your-own-vulnerable-driver) המשתמשת במנהל ההתקן הפגום 'WinRing0x64.sys'. מנהל התקן זה מושפע מ-CVE-2020-14979, פגיעות עם ציון CVSS של 7.8 המאפשרת הסלמת הרשאות.

על ידי שילוב פרצת גישה זו ישירות בכריית XMRig המותאמת אישית, התוקפים משיגים שליטה ברמה נמוכה על תצורות המעבד. אופטימיזציה זו מגדילה את ביצועי הכרייה של RandomX בכ-15% עד 50%, מה שמשפר משמעותית את הרווחיות.

ריבוי דמוי תולעת ותנועה רוחבית

בניגוד לטרויאנים מסורתיים שתלויים אך ורק בביצוע ראשוני של המשתמש, גרסה זו של XMRig משלבת תכונות התפשטות אגרסיביות. היא מתפשטת באופן פעיל באמצעות התקני אחסון נשלפים, ומאפשרת תנועה רוחבית בין מערכות, כולל אלו בסביבות עם מרווח אוויר.

יכולת דמוית תולעת זו הופכת את הנוזקה לאיום המתפשט מעצמו, מה שמרחיב משמעותית את טווח ההגעה שלה בתוך רשתות ארגוניות ומגדיל את היקף הבוטנטים.

ציר זמן תפעולי והשלכות אסטרטגיות

ראיות פורנזיות מצביעות על פעילות כרייה לסירוגין לאורך נובמבר 2025, ולאחר מכן עלייה ניכרת החל מ-8 בדצמבר 2025. דפוס זה מצביע על אסטרטגיות פריסה או הפעלה בשלבים שמטרתן למנוע גילוי מוקדם.

הקמפיין מדגיש את האבולוציה המתמשכת של תוכנות זדוניות סחורה. על ידי שילוב של הנדסה חברתית, התחזות תוכנה לגיטימית, הפצה בסגנון תולעת וניצול ברמת הליבה, גורמי האיום הצליחו לפתח בוטנט עמיד ובעל ביצועים גבוהים של חטיפת קריפטו המסוגל לכריית קריפטו בצורה מתמשכת וממוטבת.