Kortingsaanbieding voor meerdere licenties
Bedreigingsdatabase Malware XMRig Cryptojacking-campagne

XMRig Cryptojacking-campagne

Tegen Mezo in Malware, Geavanceerde aanhoudende dreiging (APT)
Vertalen naar:

Uitgebreid onderzoek heeft een geavanceerde cryptojackingcampagne aan het licht gebracht die gebruikmaakt van illegale softwarepakketten om systemen te infecteren met een aangepaste XMRig-miner. De operatie is sterk afhankelijk van social engineering, waarbij gratis premium-applicaties, zoals gekraakte kantoorproductiviteitspakketten, worden aangeprezen om gebruikers te verleiden tot het downloaden van met een trojan geïnfecteerde installatieprogramma's.

Deze kwaadaardige uitvoerbare bestanden dienen als primair toegangspunt. Na uitvoering starten ze een zorgvuldig georkestreerd infectieproces dat is ontworpen om de opbrengst van cryptomining te maximaliseren, vaak ten koste van de systeemstabiliteit. Het gebruik van misleidende distributietactieken benadrukt de aanhoudende effectiviteit van softwarepiraterij als kanaal voor de verspreiding van malware.

Een modulair infectie-systeem met meerdere werkingsmodi

De kern van de aanval wordt gevormd door een multifunctioneel binair bestand dat fungeert als het commandocentrum van de infectiecyclus. Dit onderdeel, dat dienstdoet als installatieprogramma, bewaker, payloadbeheerder en opruimprogramma, overziet de implementatie, persistentie, monitoring en mogelijke zelfverwijdering.

Het modulaire ontwerp van de malware scheidt de monitoringmogelijkheden van de kerncomponenten die verantwoordelijk zijn voor datamining, privilege-escalatie en persistentie. Operationele flexibiliteit wordt bereikt door middel van specifieke commandoregelargumenten die verschillende uitvoeringsmodi mogelijk maken:

Geen parameter : Voert omgevingsvalidatie uit en verzorgt de installatie en migratie in de beginfase.

002 Re:0 : Laat de primaire payloads vallen, start de miner en gaat een monitoringlus in.

016 : Herstart de miner als deze wordt beëindigd.

barusu : Start een zelfvernietigingsprocedure, waarbij malwarecomponenten worden beëindigd en bijbehorende bestanden worden verwijderd.

Deze gestructureerde aanpak voor het omschakelen tussen verschillende bedrijfsmodi vergroot de veerkracht en zorgt voor een continue mijnbouwactiviteit, zelfs wanneer er defensieve maatregelen worden genomen.

Ingebouwde logische bom en getimede ontmanteling

Een opvallend kenmerk van de malware is de aanwezigheid van een logische bom. Het programma haalt de lokale tijd van het systeem op en vergelijkt deze met een vastgelegde deadline van 23 december 2025.

  • Indien uitgevoerd vóór 23 december 2025, gaat de malware verder met de permanente installatie en de inzet van de cryptominer.
  • Indien uitgevoerd na deze datum, wordt het programma automatisch opnieuw opgestart met behulp van de parameter 'barusu', waarmee een gecontroleerd zelfontmantelingsproces wordt geactiveerd.

De vooraf vastgestelde einddatum suggereert dat de campagne bedoeld was om tot die datum onafgebroken door te gaan. De deadline kan samenvallen met het aflopen van de gehuurde command-and-control-infrastructuur, verwachte veranderingen op de cryptomarkt of een strategische overgang naar een opvolgende malwarevariant.

Privilege-escalatie en mining-optimalisatie via BYOVD

Tijdens een standaard infectieprocedure schrijft het binaire bestand, dat fungeert als een op zichzelf staande drager, alle benodigde componenten naar de schijf. Daaronder bevindt zich een legitiem uitvoerbaar bestand van de Windows Telemetry-service, dat wordt misbruikt om de kwaadaardige DLL van de miner te installeren.

Er worden ook persistentiemechanismen ingezet, samen met componenten die zijn ontworpen om beveiligingstools uit te schakelen. Om verhoogde uitvoeringsrechten te garanderen, gebruikt de malware een 'bring-your-own-vulnerable-driver' (BYOVD)-techniek met behulp van de gebrekkige driver 'WinRing0x64.sys'. Deze driver is getroffen door CVE-2020-14979, een kwetsbaarheid met een CVSS-score van 7,8 die privilege-escalatie mogelijk maakt.

Door deze exploit direct in de aangepaste XMRig-miner te integreren, krijgen de aanvallers controle op laag niveau over de CPU-configuraties. Deze optimalisatie verhoogt de miningprestaties van RandomX met ongeveer 15% tot 50%, waardoor de winstgevendheid aanzienlijk verbetert.

Wormachtige voortplanting en zijwaartse beweging

In tegenstelling tot traditionele Trojanen die uitsluitend afhankelijk zijn van de eerste uitvoering door de gebruiker, beschikt deze XMRig-variant over agressieve verspreidingsmechanismen. Het verspreidt zich actief via verwijderbare opslagmedia, waardoor het zich lateraal over systemen kan verplaatsen, ook naar systemen in omgevingen zonder fysiek netwerk.

Deze wormachtige eigenschap transformeert de malware in een zelfverspreidende dreiging, waardoor het bereik ervan binnen organisatienetwerken aanzienlijk wordt vergroot en de omvang van het botnet toeneemt.

Operationeel tijdschema en strategische implicaties

Forensisch onderzoek wijst op intermitterende mijnbouwactiviteit gedurende november 2025, gevolgd door een duidelijke piek vanaf 8 december 2025. Dit patroon suggereert gefaseerde inzet- of activeringsstrategieën die erop gericht zijn vroegtijdige detectie te voorkomen.

De campagne onderstreept de voortdurende evolutie van standaardmalware. Door social engineering, het nabootsen van legitieme software, verspreiding via wormen en exploitatie op kernelniveau te combineren, hebben de aanvallers een duurzaam en krachtig cryptojacking-botnet ontwikkeld dat in staat is tot aanhoudende en geoptimaliseerde cryptomining.

Trending

Meest bekeken

Bezig met laden...