XMRig kriptovalutákkal való visszaélési kampány
Kiterjedt nyomozások tártak fel egy kifinomult kriptovaluta-eltérítési kampányt, amely kalózszoftver-csomagokat használ fel a rendszerek testreszabott XMRig bányászprogramjával történő megfertőzésére. A művelet nagymértékben támaszkodik a társadalmi manipulációra, ingyenes prémium alkalmazásokat, például feltört irodai termelékenységi csomagokat hirdetve, hogy a felhasználókat trójai telepítők letöltésére csábítsa.
Ezek a rosszindulatú futtatható fájlok az elsődleges belépési pontot jelentik. Lefuttatásuk után egy gondosan megtervezett fertőzési folyamatot indítanak el, amelynek célja a kriptovaluta-bányászati teljesítmény maximalizálása, gyakran a rendszer stabilitásának rovására. A kampány megtévesztő terjesztési taktikákra való támaszkodása rávilágít a szoftverkalózkodás folyamatos hatékonyságára a rosszindulatú programok terjesztési csatornájaként.
Tartalomjegyzék
Moduláris fertőzőmotor több működési móddal
A támadás középpontjában egy multifunkcionális bináris fájl áll, amely a fertőzés életciklusának parancsnoki központjaként működik. Telepítőként, felügyeleti funkcióként, hasznosadat-kezelőként és tisztító segédprogramként ez a komponens felügyeli a telepítést, a megmaradást, a monitorozást és az esetleges öneltávolítást.
A kártevő moduláris felépítése elkülöníti a monitorozási képességeket a bányászatért, a jogosultságok eszkalációjáért és a megőrzésért felelős alapvető hasznos adatoktól. A működési rugalmasságot specifikus parancssori argumentumok biztosítják, amelyek különböző végrehajtási módokat tesznek lehetővé:
Nincs paraméter : Környezetellenőrzést hajt végre, és kezeli a korai telepítést és migrálást.
002 Re:0 : Eldobja az elsődleges hasznos adatokat, elindítja a bányászt, és belép egy monitorozó ciklusba.
016 : Újraindítja a bányászt, ha az leállt.
barusu : Önmegsemmisítő sorozatot indít, leállítja a kártevő-összetevőket és eltávolítja a hozzájuk tartozó fájlokat.
Ez a strukturált módváltási megközelítés fokozza a rugalmasságot és biztosítja a folyamatos bányászati tevékenységet még védekező intézkedések megtétele esetén is.
Beágyazott logikai bomba és időzített leszerelés
A kártevő egyik figyelemre méltó jellemzője egy logikai bomba beépítése. A bináris fájl lekéri a rendszer helyi idejét, és összehasonlítja azt a fixen kódolt 2025. december 23-i határidővel.
- Ha 2025. december 23. előtt végrehajtják, a rosszindulatú program folyamatos telepítéssel és bányászprogramok telepítésével folytatódik.
- Ha ezen dátum után hajtják végre, automatikusan újraindítja magát a 'barusu' paraméter használatával, ami egy vezérelt önleszerelési folyamatot indít el.
Az előre meghatározott határidő arra utal, hogy a kampánynak folyamatosan kellett volna működnie egészen addig a napig. A határidő egybeeshet a bérelt parancsnoki és irányító infrastruktúra lejáratával, a várható kriptovaluta-piaci változásokkal, vagy egy stratégiai átállással egy utód rosszindulatú vírustörzsre.
Jogosultság-eszkaláció és adatbányászat-optimalizálás BYOVD-n keresztül
Egy szabványos fertőzési rutin során a bináris fájl, önálló adathordozóként működve, az összes szükséges komponenst lemezre írja. Ezek között van egy legitim Windows Telemetry szolgáltatás futtatható fájlja is, amelyet a rosszindulatú bányász DLL oldalra töltésére használnak.
A kártevő a biztonsági eszközök letiltására szolgáló komponensek mellett biztonsági mechanizmusokat is telepít. A megnövelt végrehajtási jogosultságok biztosítása érdekében a rosszindulatú program egy saját, sebezhető illesztőprogramot (BYOVD) alkalmaz a hibás „WinRing0x64.sys” illesztőprogrammal. Ezt az illesztőprogramot a CVE-2020-14979 sebezhetőség érinti, amely 7,8-as CVSS-pontszámmal rendelkezik, és lehetővé teszi a jogosultságok eszkalációját.
Azáltal, hogy ezt a sérülékenységet közvetlenül integrálják a testreszabott XMRig bányászprogramba, a támadók alacsony szintű kontrollt szereznek a CPU-konfigurációk felett. Ez az optimalizálás körülbelül 15%-50%-kal növeli a RandomX bányászati teljesítményét, jelentősen javítva a jövedelmezőséget.
Féregszerű terjedés és oldalirányú mozgás
A hagyományos, kizárólag a felhasználó által végrehajtott műveletektől függő trójai vírusokkal ellentétben ez az XMRig variáns agresszív terjedési funkciókat tartalmaz. Aktívan terjed cserélhető adattároló eszközökön keresztül, lehetővé téve a rendszerek közötti oldalirányú mozgást, beleértve a légréses környezeteket is.
Ez a féregszerű képesség önmagát terjesztő fenyegetéssé alakítja a rosszindulatú programot, jelentősen kiterjesztve annak elérhetőségét a szervezeti hálózatokon belül és növelve a botnet méretét.
Műveleti ütemterv és stratégiai következmények
A kriminalisztikai bizonyítékok szakaszos bányászati tevékenységre utalnak 2025 novemberében, majd ezt követően egy jelentős növekedés következett 2025. december 8-án. Ez a minta szakaszos telepítési vagy aktiválási stratégiákra utal, amelyek célja a korai észlelés elkerülése.
A kampány rávilágít a tömegesen használt rosszindulatú szoftverek folyamatos fejlődésére. A szociális manipuláció, a legitim szoftverutánzás, a féregszerű terjedés és a kernel szintű kihasználás kombinálásával a fenyegető szereplők egy tartós és nagy teljesítményű kriptovaluta-eltulajdonító botnetet hoztak létre, amely képes a fenntartható és optimalizált kriptovaluta-bányászatra.
