Oferta rabatowa na wiele licencji
Baza danych zagrożeń Złośliwe oprogramowanie Kampania kryptojackingowa XMRig

Kampania kryptojackingowa XMRig

Do Mezo w Złośliwe oprogramowanie, Zaawansowane trwałe zagrożenie (APT)
Przetłumacz na:

Szeroko zakrojone śledztwa ujawniły wyrafinowaną kampanię cryptojackingu, która wykorzystuje pirackie pakiety oprogramowania do infekowania systemów zmodyfikowanym programem XMRig. Operacja ta opiera się w dużej mierze na socjotechnice, reklamując darmowe aplikacje premium, takie jak zhakowane pakiety biurowe, aby nakłonić użytkowników do pobrania trojanizowanych instalatorów.

Te złośliwe pliki wykonywalne stanowią główny punkt wejścia. Po uruchomieniu inicjują one starannie zaplanowany proces infekcji, mający na celu maksymalizację wydajności kopania kryptowalut, często kosztem stabilności systemu. Oparcie kampanii na zwodniczych taktykach dystrybucji podkreśla wciąż rosnącą skuteczność piractwa komputerowego jako kanału dystrybucji złośliwego oprogramowania.

Modułowy silnik infekcji z wieloma trybami działania

U podstaw ataku leży wielofunkcyjny plik binarny, który działa jako centrum dowodzenia cyklem życia infekcji. Działając jako instalator, watchdog, menedżer ładunku i narzędzie czyszczące, ten komponent nadzoruje wdrażanie, trwałość, monitorowanie i potencjalne samoistne usuwanie.

Modułowa konstrukcja złośliwego oprogramowania oddziela funkcje monitorowania od podstawowych funkcji odpowiedzialnych za kopanie, eskalację uprawnień i trwałość. Elastyczność operacyjna jest osiągana dzięki konkretnym argumentom wiersza poleceń, które umożliwiają różne tryby wykonywania:

Brak parametru : Wykonuje walidację środowiska i obsługuje wczesną fazę instalacji i migracji.

002 Re:0 : Zrzuca podstawowe ładunki, uruchamia koparkę i wchodzi w pętlę monitorowania.

016 : Ponownie uruchamia górnika, jeśli zostanie on zakończony.

barusu : Inicjuje sekwencję samozniszczenia, zamykając komponenty złośliwego oprogramowania i usuwając powiązane pliki.

Takie ustrukturyzowane podejście do przełączania trybów pracy zwiększa odporność i gwarantuje ciągłą aktywność wydobywczą nawet w przypadku podejmowania działań obronnych.

Bomba logiczna wbudowana i czasowe wyłączanie ze służby

Godną uwagi cechą złośliwego oprogramowania jest obecność bomby logicznej. Plik binarny pobiera lokalny czas systemu i porównuje go z zakodowanym na stałe terminem 23 grudnia 2025 roku.

  • Jeżeli złośliwe oprogramowanie zostanie uruchomione przed 23 grudnia 2025 r., rozpocznie się trwała instalacja i wdrożenie programu do kopania kryptowaluty.
  • Jeżeli polecenie zostanie wykonane po tej dacie, automatycznie uruchomi się ponownie z wykorzystaniem parametru „barusu”, uruchamiając kontrolowany proces samoczynnego wyłączania.

Z góry określony termin sugeruje, że kampania miała działać nieprzerwanie do tej daty. Termin ten może odpowiadać wygaśnięciu dzierżawionej infrastruktury dowodzenia i kontroli, przewidywanym zmianom na rynku kryptowalut lub strategicznemu przejściu na kolejną odmianę złośliwego oprogramowania.

Eskalacja uprawnień i optymalizacja wydobycia za pośrednictwem BYOVD

Podczas standardowej procedury infekcji, plik binarny, pełniący funkcję samodzielnego nośnika, zapisuje na dysku wszystkie niezbędne komponenty. Wśród nich znajduje się legalny plik wykonywalny usługi telemetrii systemu Windows, który jest wykorzystywany do bocznego załadowania złośliwej biblioteki DLL koparki kryptowalut.

Wdrożono również mechanizmy trwałości wraz z komponentami zaprojektowanymi do wyłączania narzędzi bezpieczeństwa. Aby zapewnić podwyższone uprawnienia do wykonywania kodu, złośliwe oprogramowanie wykorzystuje technikę BYOVD (Bring Your Own Vulnerable Driver) z wykorzystaniem wadliwego sterownika „WinRing0x64.sys”. Sterownik ten jest zagrożony luką CVE-2020-14979, która ma wynik CVSS 7,8 i umożliwia eskalację uprawnień.

Integrując ten exploit bezpośrednio z dostosowanym programem do kopania kryptowaluty XMRig, atakujący uzyskują niskopoziomową kontrolę nad konfiguracjami procesora. Ta optymalizacja zwiększa wydajność kopania RandomX o około 15% do 50%, znacząco poprawiając rentowność.

Propagacja robakowa i ruch boczny

W przeciwieństwie do tradycyjnych trojanów, które polegają wyłącznie na początkowym uruchomieniu przez użytkownika, ta odmiana XMRig wykorzystuje agresywne mechanizmy propagacji. Aktywnie rozprzestrzenia się za pośrednictwem wymiennych nośników danych, umożliwiając boczne przemieszczanie się między systemami, również w środowiskach odizolowanych od sieci.

Ta przypominająca robaka zdolność przekształca złośliwe oprogramowanie w zagrożenie, które rozprzestrzenia się samoczynnie, znacznie zwiększając jego zasięg w sieciach organizacji i zwiększając skalę botnetu.

Harmonogram operacyjny i implikacje strategiczne

Dowody kryminalistyczne wskazują na sporadyczną aktywność górniczą w listopadzie 2025 r., po której nastąpił wyraźny wzrost od 8 grudnia 2025 r. Ten wzorzec sugeruje stopniowe wdrażanie lub strategie aktywacji mające na celu uniknięcie wczesnego wykrycia.

Kampania podkreśla ciągłą ewolucję złośliwego oprogramowania. Łącząc socjotechnikę, legalne podszywanie się pod oprogramowanie, rozprzestrzenianie się na wzór robaków i wykorzystywanie luk w zabezpieczeniach na poziomie jądra, cyberprzestępcy stworzyli trwały i wydajny botnet kryptojackingowy, zdolny do ciągłego i zoptymalizowanego wydobywania kryptowalut.

Popularne

Oszustwo e-mailowe z informacją o przygotowaniu...

Phishing, Spam
Zachowanie ostrożności w przypadku niechcianych lub nieoczekiwanych wiadomości e-mail jest kluczowe w dzisiejszym krajobrazie zagrożeń. Cyberprzestępcy często maskują fałszywe wiadomości pod legalną komunikacją, aby zmanipulować odbiorców i wymusić ujawnienie poufnych informacji. Tak zwane wiadomości e-mail z informacją „Private Document Has Been Prepared” nie są powiązane z żadnymi legalnymi...

American Express - Oszustwo e-mailowe z prośbą o...

Phishing, Spam
W dzisiejszym środowisku cyfrowym zachowanie czujności w przypadku nieoczekiwanych wiadomości e-mail jest niezbędne. Cyberprzestępcy często podszywają się pod zaufane marki, aby nakłonić odbiorców do ujawnienia poufnych informacji. Tak zwany „American Express – Account Access Update Needed Email Scam” to jedna z takich kampanii phishingowych. Te wiadomości e-mail nie są powiązane z żadnymi...

Najczęściej oglądane

Ładowanie...