Campagna di cryptojacking XMRig
Indagini approfondite hanno portato alla luce una sofisticata campagna di cryptojacking che sfrutta pacchetti software piratati per infettare i sistemi con un miner XMRig personalizzato. L'operazione si basa in larga misura sull'ingegneria sociale, pubblicizzando applicazioni premium gratuite, come suite di produttività per ufficio craccate, per invogliare gli utenti a scaricare programmi di installazione trojanizzati.
Questi eseguibili dannosi fungono da punto di ingresso principale. Una volta eseguiti, avviano un processo di infezione attentamente orchestrato, progettato per massimizzare la produttività del mining di criptovalute, spesso a scapito della stabilità del sistema. Il ricorso della campagna a tattiche di distribuzione ingannevoli evidenzia la continua efficacia della pirateria informatica come canale di distribuzione del malware.
Sommario
Un motore di infezione modulare con molteplici modalità operative
Al centro dell'attacco si trova un binario multifunzionale che funge da centro di comando del ciclo di vita dell'infezione. Agendo come programma di installazione, watchdog, gestore del payload e utility di pulizia, questo componente supervisiona l'implementazione, la persistenza, il monitoraggio e la potenziale auto-rimozione.
La progettazione modulare del malware separa le capacità di monitoraggio dai payload principali responsabili del mining, dell'escalation dei privilegi e della persistenza. La flessibilità operativa è ottenuta tramite specifici argomenti della riga di comando che abilitano modalità di esecuzione distinte:
Nessun parametro : esegue la convalida dell'ambiente e gestisce l'installazione e la migrazione in fase iniziale.
002 Re:0 : Elimina i payload primari, avvia il miner ed entra in un ciclo di monitoraggio.
016 : riavvia il miner se è stato terminato.
barusu : avvia una sequenza di autodistruzione, terminando i componenti malware e rimuovendo i file associati.
Questo approccio strutturato di cambio di modalità migliora la resilienza e garantisce un'attività di mining sostenibile anche quando vengono intraprese azioni difensive.
Bomba logica incorporata e disattivazione temporizzata
Una caratteristica degna di nota del malware è l'inclusione di una bomba logica. Il codice binario recupera l'ora locale del sistema e la confronta con una scadenza hardcoded del 23 dicembre 2025.
- Se eseguito prima del 23 dicembre 2025, il malware procede con l'installazione persistente e la distribuzione del miner.
- Se eseguito dopo questa data, si riavvia automaticamente utilizzando il parametro 'barusu', innescando un processo di auto-disattivazione controllato.
Il limite predefinito suggerisce che la campagna fosse destinata a funzionare ininterrottamente fino a quella data. La scadenza potrebbe corrispondere alla scadenza dell'infrastruttura di comando e controllo in affitto, a cambiamenti previsti nel mercato delle criptovalute o a una transizione strategica verso un ceppo di malware successivo.
Escalation dei privilegi e ottimizzazione del mining tramite BYOVD
Durante una normale routine di infezione, il binario, funzionando come un vettore autonomo, scrive tutti i componenti necessari su disco. Tra questi, un eseguibile legittimo del servizio di telemetria di Windows, che viene sfruttato per caricare lateralmente la DLL del miner dannoso.
Vengono implementati anche meccanismi di persistenza, insieme a componenti progettati per disabilitare gli strumenti di sicurezza. Per garantire privilegi di esecuzione elevati, il malware impiega una tecnica BYOVD (Bring Your Own Vulnerable Driver) utilizzando il driver difettoso "WinRing0x64.sys". Questo driver è affetto da CVE-2020-14979, una vulnerabilità con un punteggio CVSS di 7,8 che consente l'escalation dei privilegi.
Integrando questo exploit direttamente nel miner XMRig personalizzato, gli aggressori ottengono un controllo di basso livello sulle configurazioni della CPU. Questa ottimizzazione aumenta le prestazioni di mining di RandomX di circa il 15-50%, migliorando significativamente la redditività.
Propagazione vermiforme e movimento laterale
A differenza dei trojan tradizionali che dipendono esclusivamente dall'esecuzione iniziale da parte dell'utente, questa variante di XMRig incorpora funzionalità di propagazione aggressive. Si diffonde attivamente tramite dispositivi di archiviazione rimovibili, consentendo il movimento laterale tra i sistemi, compresi quelli in ambienti air gap.
Questa capacità simile a quella di un worm trasforma il malware in una minaccia auto-propagante, ampliando notevolmente la sua portata all'interno delle reti aziendali e aumentando la portata della botnet.
Cronologia operativa e implicazioni strategiche
Le prove forensi indicano un'attività mineraria intermittente per tutto novembre 2025, seguita da un'impennata marcata a partire dall'8 dicembre 2025. Questo schema suggerisce strategie di distribuzione o attivazione graduale volte a evitare la rilevazione precoce.
La campagna sottolinea la continua evoluzione del malware di base. Combinando ingegneria sociale, impersonificazione di software legittimo, propagazione in stile worm e sfruttamento a livello di kernel, gli autori della minaccia hanno progettato una botnet di cryptojacking durevole e ad alte prestazioni, in grado di effettuare un mining di criptovalute sostenibile e ottimizzato.
