Rabatttilbud for flere lisenser
Trusseldatabase Skadelig programvare XMRig-kryptokapringskampanje

XMRig-kryptokapringskampanje

Med Mezo i Skadelig programvare, Advanced Persistent Threat (APT)
Oversett til:

Omfattende undersøkelser har avdekket en sofistikert kryptokapringskampanje som utnytter piratkopierte programvarepakker for å infisere systemer med en tilpasset XMRig-miner. Operasjonen er i stor grad avhengig av sosial manipulering, og reklamerer for gratis premiumapplikasjoner, som for eksempel krakkede kontorproduktivitetspakker, for å lokke brukere til å laste ned trojanske installasjonsprogrammer.

Disse ondsinnede kjørbare filene fungerer som det primære inngangspunktet. Når de er kjørt, starter de en nøye orkestrert infeksjonsprosess som er utformet for å maksimere kryptovalutautvinning, ofte på bekostning av systemstabilitet. Kampanjens avhengighet av villedende distribusjonstaktikker fremhever den fortsatte effektiviteten til piratkopiering av programvare som en leveringskanal for skadelig programvare.

En modulær infeksjonsmotor med flere driftsmoduser

Kjernen i angrepet ligger en multifunksjonell binærfil som fungerer som kommandosenteret for infeksjonens livssyklus. Denne komponenten fungerer som installasjonsprogram, vaktbikkje, nyttelastbehandler og oppryddingsprogram, og overvåker distribusjon, persistens, overvåking og potensiell selvfjerning.

Skadevarens modulære design skiller overvåkingsfunksjoner fra kjernenyttelaster som er ansvarlige for mining, rettighetseskalering og persistens. Operasjonell fleksibilitet oppnås gjennom spesifikke kommandolinjeargumenter som muliggjør forskjellige utførelsesmoduser:

Ingen parameter : Utfører miljøvalidering og håndterer installasjon og migrering i tidlig fase.

002 Re:0 : Slipper de primære nyttelastene, starter mineren og går inn i en overvåkingsløkke.

016 : Starter mineren på nytt hvis den avsluttes.

barusu : Starter en selvdestruksjonssekvens, avslutter skadevarekomponenter og fjerner tilknyttede filer.

Denne strukturerte modusbyttetilnærmingen forbedrer robustheten og sikrer vedvarende gruveaktivitet selv når det iverksettes defensive tiltak.

Innebygd logikkbombe og tidsbestemt avvikling

Et bemerkelsesverdig kjennetegn ved skadevaren er inkluderingen av en logisk bombe. Binærfilen henter systemets lokale tid og sammenligner den med en fastlagt frist på 23. desember 2025.

  • Hvis den kjøres før 23. desember 2025, fortsetter skadevaren med persistensinstallasjon og utrulling av miner.
  • Hvis den kjøres etter denne datoen, starter den automatisk på nytt ved hjelp av parameteren «barusu», noe som utløser en kontrollert selvdekommisjoneringsprosess.

Den forhåndsdefinerte fristen antyder at kampanjen var ment å operere kontinuerlig frem til denne datoen. Fristen kan tilsvare utløpet av leid kommando- og kontrollinfrastruktur, forventede endringer i kryptovalutamarkedet eller en strategisk overgang til en etterfølgende skadevarestamme.

Privilegieeskalering og miningoptimalisering via BYOVD

Under en standard infeksjonsrutine skriver binærfilen, som fungerer som en selvstendig bærer, alle nødvendige komponenter til disk. Blant disse er en legitim kjørbar Windows Telemetry-tjeneste, som misbrukes til å sidelaste den skadelige miner-DLL-en.

Persistensmekanismer er også implementert, sammen med komponenter som er utviklet for å deaktivere sikkerhetsverktøy. For å sikre forhøyede utførelsesrettigheter bruker skadevaren en BYOVD-teknikk (bring-your-own-vulnerable-driver) ved hjelp av den feilaktige driveren «WinRing0x64.sys». Denne driveren er påvirket av CVE-2020-14979, en sårbarhet med en CVSS-poengsum på 7,8 som tillater rettighetseskalering.

Ved å integrere denne utnyttelsen direkte i den tilpassede XMRig-mineren, får angriperne lavnivåkontroll over CPU-konfigurasjoner. Denne optimaliseringen øker RandomX-miningytelsen med omtrent 15 % til 50 %, noe som forbedrer lønnsomheten betydelig.

Ormlignende forplantning og lateral bevegelse

I motsetning til tradisjonelle trojanere som utelukkende er avhengige av brukerens initiale utførelse, har denne XMRig-varianten aggressive forplantningsfunksjoner. Den sprer seg aktivt via flyttbare lagringsenheter, noe som muliggjør sideveis bevegelse på tvers av systemer, inkludert de i miljøer med luftgap.

Denne ormlignende evnen forvandler skadevaren til en selvspredende trussel, noe som utvider rekkevidden betydelig innenfor organisasjonsnettverk og øker botnettets skala.

Operasjonell tidslinje og strategiske implikasjoner

Rettsmedisinske bevis indikerer periodisk gruveaktivitet gjennom hele november 2025, etterfulgt av en markant økning som startet 8. desember 2025. Dette mønsteret antyder fasede utplasserings- eller aktiveringsstrategier som tar sikte på å unngå tidlig oppdagelse.

Kampanjen understreker den pågående utviklingen av vanlig skadelig programvare. Ved å kombinere sosial manipulering, legitim programvareetterligning, ormelignende spredning og utnyttelse på kjernenivå, har trusselaktørene konstruert et slitesterkt og høytytende kryptokapringsbotnett som er i stand til vedvarende og optimalisert kryptovalutautvinning.

Trender

Mest sett

Laster inn...