Ponuda s popustom na više licenci
Baza prijetnji Malware XMRig kampanja za otimanje kriptovaluta

XMRig kampanja za otimanje kriptovaluta

Do Mezo. Malware, Napredna trajna prijetnja (APT). godine
Prevedi na:

Opsežne istrage otkrile su sofisticiranu kampanju kriptootmice koja koristi piratske softverske pakete za zarazu sustava prilagođenim XMRig minerom. Operacija se uvelike oslanja na društveni inženjering, oglašavajući besplatne premium aplikacije, poput crackiranih uredskih paketa, kako bi privukla korisnike na preuzimanje instalacijskih programa zaraženih trojancima.

Ove zlonamjerne izvršne datoteke služe kao primarna ulazna točka. Nakon što se izvrše, pokreću pažljivo orkestrirani proces zaraze osmišljen kako bi se maksimizirao učinak rudarenja kriptovaluta, često na štetu stabilnosti sustava. Oslanjanje kampanje na varljive taktike distribucije naglašava kontinuiranu učinkovitost softverskog piratstva kao kanala za isporuku zlonamjernog softvera.

Modularni mehanizam za infekcije s više načina rada

U središtu napada leži višenamjenski binarni program koji funkcionira kao zapovjedni centar životnog ciklusa infekcije. Djelujući kao instalacijski program, nadzornik, upravitelj korisnih podataka i uslužni program za čišćenje, ova komponenta nadgleda implementaciju, postojanost, praćenje i potencijalno samouklanjanje.

Modularni dizajn zlonamjernog softvera odvaja mogućnosti praćenja od osnovnih podataka odgovornih za rudarenje, eskalaciju privilegija i perzistenciju. Operativna fleksibilnost postiže se specifičnim argumentima naredbenog retka koji omogućuju različite načine izvršavanja:

Bez parametra : Provodi validaciju okruženja i obrađuje instalaciju i migraciju u ranoj fazi.

002 Re:0 : Ispušta primarne korisne terete, pokreće rudar i ulazi u petlju praćenja.

016 : Ponovno pokreće rudar ako je prekinut.

barusu : Pokreće sekvencu samouništavanja, prekidajući komponente zlonamjernog softvera i uklanjajući povezane datoteke.

Ovaj strukturirani pristup prebacivanja načina rada povećava otpornost i osigurava održivu aktivnost rudarstva čak i kada se poduzmu obrambene akcije.

Ugrađena logička bomba i vremenski ograničeno dekomisioniranje

Značajna karakteristika zlonamjernog softvera je uključivanje logičke bombe. Binarna datoteka dohvaća lokalno vrijeme sustava i uspoređuje ga s fiksno kodiranim rokom 23. prosinca 2025.

  • Ako se izvrši prije 23. prosinca 2025., zlonamjerni softver nastavlja s instalacijom i raspoređivanjem rudara.
  • Ako se izvrši nakon ovog datuma, automatski se ponovno pokreće pomoću parametra 'barusu', pokrećući kontrolirani proces samodekomisioniranja.

Unaprijed definirani rok sugerira da je kampanja trebala kontinuirano funkcionirati do tog datuma. Rok može odgovarati isteku iznajmljene infrastrukture za upravljanje i kontrolu, očekivanim promjenama na tržištu kriptovaluta ili strateškom prijelazu na sljedeći soj zlonamjernog softvera.

Eskalacija privilegija i optimizacija rudarenja putem BYOVD-a

Tijekom standardne rutine zaraze, binarna datoteka, koja funkcionira kao samostalni nosač, zapisuje sve potrebne komponente na disk. Među njima je i legitimna izvršna datoteka usluge Windows Telemetry, koja se zlorabi za bočno učitavanje zlonamjernog DLL-a za rudarenje.

Također se primjenjuju mehanizmi perzistencije, zajedno s komponentama dizajniranim za onemogućavanje sigurnosnih alata. Kako bi se osigurala povećana ovlaštenja za izvršavanje, zlonamjerni softver koristi tehniku donesi vlastiti ranjivi upravljački program (BYOVD) koristeći neispravni upravljački program 'WinRing0x64.sys'. Na ovaj upravljački program utječe CVE-2020-14979, ranjivost s CVSS ocjenom 7,8 koja dopušta eskalaciju privilegija.

Integriranjem ovog exploita izravno u prilagođeni XMRig rudar, napadači dobivaju nisku razinu kontrole nad konfiguracijama CPU-a. Ova optimizacija povećava performanse RandomX rudarenja za otprilike 15% do 50%, značajno poboljšavajući profitabilnost.

Širenje nalik crvima i lateralno kretanje

Za razliku od tradicionalnih trojanaca koji ovise isključivo o početnom izvršavanju od strane korisnika, ova varijanta XMRig-a uključuje značajke agresivnog širenja. Aktivno se širi putem prijenosnih uređaja za pohranu, omogućujući lateralno kretanje između sustava, uključujući i one u okruženjima s ograničenom sigurnošću.

Ova sposobnost slična crvu transformira zlonamjerni softver u samorazmnožavajuću prijetnju, značajno proširujući njegov doseg unutar organizacijskih mreža i povećavajući opseg botneta.

Operativni vremenski okvir i strateške implikacije

Forenzički dokazi ukazuju na povremenu rudarsku aktivnost tijekom studenog 2025., nakon čega je uslijedio značajan porast koji je započeo 8. prosinca 2025. Ovaj obrazac sugerira strategije postupnog raspoređivanja ili aktivacije usmjerene na izbjegavanje ranog otkrivanja.

Kampanja naglašava kontinuiranu evoluciju zlonamjernog softvera. Kombiniranjem društvenog inženjeringa, lažnog predstavljanja legitimnog softvera, širenja u stilu crva i iskorištavanja na razini jezgre, akteri prijetnji stvorili su izdržljiv i visokoučinkovit botnet za cryptojacking sposoban za održivo i optimizirano rudarenje kriptovaluta.

U trendu

American Express - Potrebno je ažuriranje pristupa...

Krađa identiteta, Spam
U današnjem digitalnom okruženju ključno je ostati oprezan pri rješavanju neočekivanih e-poruka. Kibernetički kriminalci često se lažno predstavljaju kao pouzdane robne marke kako bi prevarili primatelje i naveli ih da otkriju osjetljive podatke. Takozvana prijevara e-poštom American Express - Account Access Update Needed jedna je od takvih phishing kampanja. Ove e-poruke nisu povezane ni s...

Nagledanije

Učitavam...