Campania de deturnare a criptomonedelor XMRig
Investigații ample au descoperit o campanie sofisticată de cryptojacking care utilizează pachete de software piratat pentru a infecta sistemele cu un miner XMRig personalizat. Operațiunea se bazează în mare măsură pe inginerie socială, reclamând aplicații premium gratuite, cum ar fi suite de productivitate office piratate, pentru a atrage utilizatorii să descarce programe de instalare troiene.
Aceste executabile rău intenționate servesc drept punct principal de intrare. Odată executate, ele inițiază un proces de infectare atent orchestrat, conceput pentru a maximiza producția de minerit a criptomonedelor, adesea în detrimentul stabilității sistemului. Bazarea campaniei pe tactici de distribuție înșelătoare evidențiază eficacitatea continuă a pirateriei software ca și canal de distribuție a programelor malware.
Cuprins
Un motor modular de infecții cu moduri multiple de operare
În centrul atacului se află un fișier binar multifuncțional care funcționează ca centru de comandă al ciclului de viață al infecției. Acționând ca un instalator, un watchdog, un manager de sarcini utile și un utilitar de curățare, această componentă supraveghează implementarea, persistența, monitorizarea și potențiala auto-eliminare.
Designul modular al malware-ului separă capacitățile de monitorizare de sarcinile utile principale responsabile pentru mining, escaladarea privilegiilor și persistență. Flexibilitatea operațională este obținută prin argumente specifice în linia de comandă care permit moduri distincte de execuție:
Fără parametru : Efectuează validarea mediului și gestionează instalarea și migrarea în stadii incipiente.
002 Re:0 : Elimină sarcinile utile principale, lansează minerul și intră într-o buclă de monitorizare.
016 : Repornește minerul dacă acesta este terminat.
barusu : Inițiază o secvență de autodistrugere, eliminând componentele malware și fișierele asociate.
Această abordare structurată de schimbare a modului sporește reziliența și asigură o activitate minieră susținută chiar și atunci când se iau măsuri defensive.
Bombă logică încorporată și dezafectare temporizată
O caracteristică notabilă a malware-ului este includerea unei bombe logice. Fișierul binar preia ora locală a sistemului și o compară cu un termen limită hardcoded de 23 decembrie 2025.
- Dacă este executat înainte de 23 decembrie 2025, malware-ul continuă cu instalarea persistenței și implementarea minerilor.
- Dacă este executat după această dată, se relansează automat folosind parametrul „barusu”, declanșând un proces controlat de auto-dezactivare.
Limita predefinită sugerează că intenția campaniei era să funcționeze continuu până la acea dată. Termenul limită poate corespunde expirării infrastructurii de comandă și control închiriate, schimbărilor anticipate ale pieței criptomonedelor sau unei tranziții strategice către o tulpină malware succesoare.
Escalarea privilegiilor și optimizarea mineritului prin BYOVD
În timpul unei rutine standard de infectare, fișierul binar, funcționând ca un purtător autonom, scrie toate componentele necesare pe disc. Printre acestea se numără un executabil legitim al serviciului Windows Telemetry, care este abuzat pentru a încărca lateral DLL-ul minerului malițios.
De asemenea, sunt implementate mecanisme de persistență, împreună cu componente concepute pentru a dezactiva instrumentele de securitate. Pentru a asigura privilegii de execuție ridicate, malware-ul folosește o tehnică de tip „bring-your-own-vulnerable-driver” (BYOVD) folosind driverul defect „WinRing0x64.sys”. Acest driver este afectat de CVE-2020-14979, o vulnerabilitate cu un scor CVSS de 7,8 care permite escaladarea privilegiilor.
Prin integrarea acestei vulnerabilități direct în minerul XMRig personalizat, atacatorii obțin control la nivel scăzut asupra configurațiilor procesorului. Această optimizare crește performanța mineritului RandomX cu aproximativ 15% până la 50%, îmbunătățind semnificativ profitabilitatea.
Propagarea asemănătoare viermilor și mișcarea laterală
Spre deosebire de troienii tradiționali care depind exclusiv de execuția inițială a utilizatorului, această variantă XMRig încorporează caracteristici de propagare agresivă. Se răspândește activ prin intermediul dispozitivelor de stocare amovibile, permițând mișcarea laterală între sisteme, inclusiv cele din medii cu spații închise.
Această capacitate asemănătoare unui vierme transformă malware-ul într-o amenințare care se autopropaga, lărgindu-i substanțial aria de acoperire în rețelele organizaționale și crescând scara botnet-ului.
Cronologia operațională și implicațiile strategice
Dovezile criminalistice indică o activitate minieră intermitentă pe tot parcursul lunii noiembrie 2025, urmată de o creștere semnificativă începând cu 8 decembrie 2025. Acest model sugerează strategii de implementare sau activare etapizate, menite să evite detectarea timpurie.
Campania subliniază evoluția continuă a programelor malware comune. Prin combinarea ingineriei sociale, a uzurpării legitime de software, a propagării de tip vierme și a exploatării la nivel de kernel, actorii amenințători au conceput o rețea de bot-uri de cryptojacking durabilă și de înaltă performanță, capabilă de minerit de criptomonede susținut și optimizat.
