Криптоджекинговая кампания XMRig
В результате масштабных расследований была выявлена сложная кампания по криптоджекингу, использующая пиратские пакеты программного обеспечения для заражения систем модифицированным майнером XMRig. Операция в значительной степени опирается на социальную инженерию, рекламируя бесплатные платные приложения, такие как взломанные офисные пакеты, чтобы побудить пользователей загрузить троянизированные установщики.
Эти вредоносные исполняемые файлы служат основной точкой входа. После запуска они инициируют тщательно спланированный процесс заражения, призванный максимизировать доход от майнинга криптовалюты, часто в ущерб стабильности системы. Использование в этой кампании обманных методов распространения подчеркивает сохраняющуюся эффективность пиратства программного обеспечения как канала доставки вредоносных программ.
Оглавление
Модульный механизм заражения с несколькими режимами работы.
В основе атаки лежит многофункциональный исполняемый файл, который функционирует как командный центр жизненного цикла заражения. Выполняя функции установщика, сторожевого таймера, менеджера полезной нагрузки и утилиты очистки, этот компонент контролирует развертывание, сохранение в системе, мониторинг и потенциальное самоудаление.
Модульная конструкция вредоносной программы отделяет возможности мониторинга от основных полезных нагрузок, отвечающих за майнинг, повышение привилегий и обеспечение постоянного присутствия в системе. Операционная гибкость достигается за счет специальных аргументов командной строки, позволяющих использовать различные режимы выполнения:
Без параметров : Выполняет проверку среды и обрабатывает начальные этапы установки и миграции.
002 Re:0 : Сбрасывает основные полезные нагрузки, запускает майнер и переходит в цикл мониторинга.
016 : Перезапускает майнер, если он был завершен.
barusu : Инициирует последовательность самоуничтожения, завершая работу компонентов вредоносного ПО и удаляя связанные с ними файлы.
Такой структурированный подход к переключению режимов повышает устойчивость и обеспечивает бесперебойную работу горнодобывающей отрасли даже при принятии защитных мер.
Встроенная логическая бомба и контролируемое списание
Примечательной особенностью вредоносной программы является наличие логической бомбы. Бинарный файл получает локальное время системы и сравнивает его с жестко заданным крайним сроком — 23 декабря 2025 года.
- Если вредоносная программа будет запущена до 23 декабря 2025 года, она продолжит установку и развертывание майнера.
- Если запуск произойдет после этой даты, программа автоматически перезапустится с использованием параметра 'barusu', запустив контролируемый процесс самовывода из эксплуатации.
Установленный заранее крайний срок предполагает, что кампания должна была продолжаться непрерывно до этой даты. Крайний срок может соответствовать истечению срока действия арендованной инфраструктуры управления и контроля, ожидаемым изменениям на рынке криптовалют или стратегическому переходу к следующему штамму вредоносного ПО.
Повышение привилегий и оптимизация майнинга с помощью BYOVD
В ходе стандартной процедуры заражения исполняемый файл, функционирующий как автономный носитель, записывает на диск все необходимые компоненты. Среди них — легитимный исполняемый файл службы телеметрии Windows, который используется для установки вредоносной DLL-библиотеки майнера.
В вредоносной программе также используются механизмы обеспечения постоянного присутствия в системе, а также компоненты, предназначенные для отключения средств защиты. Для обеспечения повышенных привилегий при выполнении вредоносное ПО применяет метод использования уязвимого драйвера (BYOVD), используя некорректный драйвер WinRing0x64.sys. Этот драйвер подвержен уязвимости CVE-2020-14979 с оценкой CVSS 7,8, которая позволяет повысить привилегии.
Интегрировав этот эксплойт непосредственно в модифицированный майнер XMRig, злоумышленники получают низкоуровневый контроль над конфигурациями процессора. Эта оптимизация повышает производительность майнинга RandomX примерно на 15–50%, значительно увеличивая прибыльность.
Червеобразное распространение и боковое перемещение
В отличие от традиционных троянов, которые зависят исключительно от первоначального запуска пользователем, этот вариант XMRig обладает агрессивными функциями распространения. Он активно распространяется через съемные носители информации, обеспечивая горизонтальное перемещение по системам, в том числе и в изолированных от сети средах.
Эта способность, подобная червю, превращает вредоносное ПО в самораспространяющуюся угрозу, существенно расширяя его распространение в корпоративных сетях и увеличивая масштабы ботнета.
Оперативный график и стратегические последствия
Судебно-медицинская экспертиза указывает на периодическую добычу полезных ископаемых в течение ноября 2025 года, за которой последовал заметный всплеск, начавшийся 8 декабря 2025 года. Такая закономерность предполагает поэтапное развертывание или активизацию стратегий, направленных на предотвращение раннего обнаружения.
Эта кампания подчеркивает продолжающуюся эволюцию вредоносного ПО, используемого в коммерческих целях. Сочетая социальную инженерию, имитацию легитимного программного обеспечения, распространение вредоносного ПО по типу червей и эксплуатацию уязвимостей на уровне ядра, злоумышленники создали устойчивый и высокопроизводительный ботнет для криптоджекинга, способный к устойчивому и оптимизированному майнингу криптовалюты.
