Cotação de desconto para licenças múltiplas
Banco de Dados de Ameaças Malware Campanha de Cryptojacking XMRig

Campanha de Cryptojacking XMRig

Por Mezo em Malware, Ameaça Persistente Avançada (APT)
Traduzir Para:

Investigações extensivas revelaram uma sofisticada campanha de cryptojacking que utiliza pacotes de software pirateados para infectar sistemas com um minerador XMRig personalizado. A operação depende fortemente de engenharia social, anunciando aplicativos premium gratuitos, como suítes de escritório crackeadas, para induzir os usuários a baixar instaladores trojanizados.

Esses executáveis maliciosos servem como principal ponto de entrada. Uma vez executados, iniciam um processo de infecção cuidadosamente orquestrado, projetado para maximizar a produção de mineração de criptomoedas, frequentemente em detrimento da estabilidade do sistema. A dependência da campanha em táticas de distribuição enganosas destaca a eficácia contínua da pirataria de software como canal de disseminação de malware.

Um mecanismo de infecção modular com múltiplos modos operacionais.

No cerne do ataque está um binário multifuncional que opera como o centro de comando do ciclo de vida da infecção. Atuando como instalador, monitorador, gerenciador de carga útil e utilitário de limpeza, esse componente supervisiona a implantação, a persistência, o monitoramento e a possível autodestruição.

O design modular do malware separa as capacidades de monitoramento das cargas úteis principais responsáveis pela mineração de dados, escalonamento de privilégios e persistência. A flexibilidade operacional é alcançada por meio de argumentos específicos da linha de comando que permitem modos de execução distintos:

Sem parâmetros : Realiza a validação do ambiente e lida com a instalação e migração em estágio inicial.

002 Re:0 : Libera as cargas úteis primárias, inicia o minerador e entra em um loop de monitoramento.

016 : Reinicia o minerador caso ele seja encerrado.

barusu : Inicia uma sequência de autodestruição, encerrando os componentes do malware e removendo os arquivos associados.

Essa abordagem estruturada de alternância de modos aumenta a resiliência e garante a continuidade da atividade de mineração mesmo quando medidas defensivas são tomadas.

Bomba lógica embutida e desativação programada

Uma característica notável do malware é a inclusão de uma bomba lógica. O programa obtém a hora local do sistema e a compara com um prazo predefinido de 23 de dezembro de 2025.

  • Se executado antes de 23 de dezembro de 2025, o malware prossegue com a instalação persistente e a implantação do minerador.
  • Se executado após essa data, ele se reinicia automaticamente usando o parâmetro 'barusu', acionando um processo de autodesativação controlada.

O prazo predefinido sugere que a campanha deveria operar continuamente até essa data. O prazo pode corresponder ao vencimento da infraestrutura de comando e controle alugada, a mudanças previstas no mercado de criptomoedas ou a uma transição estratégica para uma variante sucessora do malware.

Escalada de privilégios e otimização de mineração via BYOVD

Durante uma rotina de infecção padrão, o binário, funcionando como um vetor autossuficiente, grava todos os componentes necessários no disco. Entre eles está um executável legítimo do serviço de Telemetria do Windows, que é explorado para instalar a DLL maliciosa do minerador.

Mecanismos de persistência também são implementados, juntamente com componentes projetados para desativar ferramentas de segurança. Para garantir privilégios de execução elevados, o malware emprega uma técnica de "traga seu próprio driver vulnerável" (BYOVD) usando o driver defeituoso 'WinRing0x64.sys'. Este driver é afetado pela vulnerabilidade CVE-2020-14979, com uma pontuação CVSS de 7,8 que permite a escalação de privilégios.

Ao integrar essa vulnerabilidade diretamente no minerador XMRig personalizado, os atacantes obtêm controle de baixo nível sobre as configurações da CPU. Essa otimização aumenta o desempenho da mineração RandomX em aproximadamente 15% a 50%, melhorando significativamente a lucratividade.

Propagação semelhante a vermes e movimento lateral

Ao contrário dos Trojans tradicionais que dependem exclusivamente da execução inicial pelo usuário, esta variante do XMRig incorpora recursos agressivos de propagação. Ela se espalha ativamente por meio de dispositivos de armazenamento removíveis, permitindo a movimentação lateral entre sistemas, inclusive em ambientes isolados da internet (air-gapped).

Essa capacidade semelhante à de um verme transforma o malware em uma ameaça autopropagável, ampliando substancialmente seu alcance dentro das redes organizacionais e aumentando a escala da botnet.

Cronograma operacional e implicações estratégicas

As evidências forenses indicam atividade de mineração intermitente ao longo de novembro de 2025, seguida por um aumento acentuado a partir de 8 de dezembro de 2025. Esse padrão sugere estratégias de implantação ou ativação faseadas com o objetivo de evitar a detecção precoce.

A campanha destaca a evolução contínua de malwares comuns. Combinando engenharia social, falsificação de software legítimo, propagação no estilo worm e exploração em nível de kernel, os agentes de ameaça desenvolveram uma botnet de cryptojacking robusta e de alto desempenho, capaz de mineração de criptomoedas sustentada e otimizada.

Tendendo

American Express - Golpe por e-mail: Atualização de...

Phishing, Spam
Manter-se vigilante ao lidar com e-mails inesperados é essencial no ambiente digital atual. Criminosos cibernéticos frequentemente se fazem passar por marcas confiáveis para enganar os destinatários e obter informações confidenciais. O chamado golpe do e-mail "American Express - Atualização de Acesso à Conta Necessária" é um exemplo desse tipo de campanha de phishing. Esses e-mails não estão...

Mais visto

Carregando...