Popust za več licenc
Podjetje o grožnjah Zlonamerna programska oprema Kampanja za kriptovalute XMRig

Kampanja za kriptovalute XMRig

Do leta Mezo leta Zlonamerna programska oprema, Napredna trajna grožnja (APT)
Prevedi v:

Obsežne preiskave so odkrile sofisticirano kampanjo kriptovalut, ki izkorišča piratske programske pakete za okužbo sistemov s prilagojenim rudarjem XMRig. Operacija se močno zanaša na socialni inženiring, oglaševanje brezplačnih premium aplikacij, kot so razpokane pisarniške zbirke, da bi uporabnike zvabila k prenosu namestitvenih programov, okuženih s trojanci.

Te zlonamerne izvedljive datoteke služijo kot glavna vstopna točka. Ko se izvedejo, sprožijo skrbno orkestriran proces okužbe, zasnovan za maksimiranje proizvodnje kriptovalut, pogosto na račun stabilnosti sistema. Zanašanje kampanje na zavajajoče taktike distribucije poudarja nenehno učinkovitost piratstva programske opreme kot kanala za dostavo zlonamerne programske opreme.

Modularni mehanizem za okužbe z več načini delovanja

V jedru napada leži večnamenska binarna datoteka, ki deluje kot poveljniški center življenjskega cikla okužbe. Ta komponenta, ki deluje kot namestitveni program, nadzorni program, upravitelj koristnega tovora in pripomoček za čiščenje, nadzira uvajanje, vzdržnost, spremljanje in morebitno samoodstranitev.

Modularna zasnova zlonamerne programske opreme ločuje zmogljivosti spremljanja od osnovnih koristnih vsebin, odgovornih za rudarjenje, stopnjevanje privilegijev in vztrajnost. Operativna prilagodljivost je dosežena s posebnimi argumenti ukazne vrstice, ki omogočajo različne načine izvajanja:

Brez parametra : Izvaja preverjanje okolja in obravnava namestitev in selitev v zgodnji fazi.

002 Re:0 : Odvrže primarne koristne tovore, zažene rudar in vstopi v zanko spremljanja.

016 : Ponovno zažene rudarja, če je ta prekinjen.

barusu : Začne postopek samouničenja, uniči komponente zlonamerne programske opreme in odstrani povezane datoteke.

Ta strukturiran pristop preklapljanja načinov povečuje odpornost in zagotavlja trajno rudarsko dejavnost tudi ob obrambnih ukrepih.

Vgrajena logična bomba in časovno omejena razgradnja

Pomembna značilnost zlonamerne programske opreme je vključitev logične bombe. Binarna datoteka pridobi lokalni čas sistema in ga primerja s fiksno kodiranim rokom 23. decembra 2025.

  • Če se izvede pred 23. decembrom 2025, zlonamerna programska oprema nadaljuje z namestitvijo in uvajanjem rudarja.
  • Če se izvede po tem datumu, se samodejno znova zažene z uporabo parametra 'barusu' in sproži nadzorovan postopek samodejne razgradnje.

Vnaprej določena omejitev nakazuje, da je bila kampanja namenjena neprekinjenemu delovanju do tega datuma. Rok lahko ustreza izteku najete infrastrukture za upravljanje in nadzor, pričakovanim spremembam na trgu kriptovalut ali strateškemu prehodu na naslednjo vrsto zlonamerne programske opreme.

Eskalacija privilegijev in optimizacija rudarjenja prek BYOVD

Med standardno rutino okužbe binarna datoteka, ki deluje kot samostojen nosilec, zapiše vse potrebne komponente na disk. Med njimi je legitimna izvedljiva datoteka storitve Windows Telemetry, ki se zlorablja za nalaganje zlonamerne DLL-ja rudarja.

Uporabljeni so tudi mehanizmi vztrajnosti, skupaj s komponentami, namenjenimi onemogočanju varnostnih orodij. Za zagotovitev povečanih privilegijev izvajanja zlonamerna programska oprema uporablja tehniko »prinesi svoj ranljivi gonilnik« (BYOVD) z uporabo pomanjkljivega gonilnika »WinRing0x64.sys«. Na ta gonilnik vpliva ranljivost CVE-2020-14979 z oceno CVSS 7,8, ki omogoča stopnjevanje privilegijev.

Z integracijo te zlorabe neposredno v prilagojeni rudar XMRig napadalci pridobijo nadzor nad konfiguracijami procesorja na nizki ravni. Ta optimizacija poveča zmogljivost rudarjenja RandomX za približno 15 % do 50 %, kar znatno izboljša dobičkonosnost.

Črvasto širjenje in lateralno gibanje

Za razliko od tradicionalnih trojanskih konjev, ki so odvisni izključno od začetnega uporabnikovega izvajanja, ima ta različica XMRig funkcije agresivnega širjenja. Aktivno se širi prek odstranljivih pomnilniških naprav, kar omogoča lateralno premikanje med sistemi, vključno s tistimi v zračno izoliranih okoljih.

Ta črvu podobna sposobnost zlonamerno programsko opremo spremeni v samorazširjajočo se grožnjo, kar znatno razširi njen doseg znotraj organizacijskih omrežij in poveča obseg botneta.

Operativni časovni načrt in strateške posledice

Forenzični dokazi kažejo na občasno rudarsko dejavnost v novembru 2025, ki ji je sledil izrazit porast od 8. decembra 2025. Ta vzorec kaže na strategije postopnega uvajanja ali aktivacije, katerih cilj je preprečiti zgodnje odkrivanje.

Kampanja poudarja nenehen razvoj zlonamerne programske opreme za splošno uporabo. Z združevanjem socialnega inženiringa, lažnega predstavljanja legitimne programske opreme, širjenja v slogu črvov in izkoriščanja na ravni jedra so akterji grožnje zasnovali trpežen in visokozmogljiv botnet za kriptovalute, ki je sposoben trajnostnega in optimiziranega rudarjenja kriptovalut.

V trendu

Zasebni dokument je bil pripravljen – e-poštna prevara

Lažno predstavljanje, Neželena pošta
V današnjem okolju groženj je pri ravnanju z neželenimi ali nepričakovanimi e-poštnimi sporočili bistvenega pomena previdnost. Kibernetski kriminalci pogosto prikrivajo goljufiva sporočila kot legitimna sporočila, da bi z manipulacijo prejemnikov prepričali v razkritje občutljivih podatkov. Tako imenovana e-poštna sporočila z oznako »Zasebni dokument je bil pripravljen« niso povezana z nobenim...

American Express - Potrebna je posodobitev dostopa...

Lažno predstavljanje, Neželena pošta
V današnjem digitalnem okolju je bistvenega pomena ostati pozoren pri obravnavanju nepričakovanih e-poštnih sporočil. Kibernetski kriminalci se pogosto izdajajo za zaupanja vredne blagovne znamke, da bi prejemnike zvabili v razkritje občutljivih podatkov. Tako imenovana prevara z e-poštnimi sporočili American Express – potrebna je posodobitev dostopa do računa (American Express – Account Access...

Najbolj gledan

Nalaganje...