Fushata e XMRig Cryptojacking
Hetime të gjera kanë zbuluar një fushatë të sofistikuar vjedhjeje të kriptovalutave që shfrytëzon paketa softuerësh të piratuar për të infektuar sistemet me një minator XMRig të personalizuar. Operacioni mbështetet shumë në inxhinierinë sociale, duke reklamuar aplikacione premium falas, të tilla si paketa të thyera të produktivitetit të zyrës, për të joshur përdoruesit të shkarkojnë instalues të infektuar me trojan.
Këto ekzekutues keqdashës shërbejnë si pika kryesore e hyrjes. Pasi ekzekutohen, ato fillojnë një proces infeksioni të orkestruar me kujdes, i projektuar për të maksimizuar prodhimin e minierave të kriptomonedhave, shpesh në kurriz të stabilitetit të sistemit. Mbështetja e fushatës në taktikat mashtruese të shpërndarjes nxjerr në pah efektivitetin e vazhdueshëm të piraterisë së softuerëve si një kanal i shpërndarjes së malware-it.
Tabela e Përmbajtjes
Një Motor Modular Infeksioni me Mënyra të Shumëfishta Operacionale
Në thelb të sulmit qëndron një skedar binar shumëfunksional që vepron si qendra komanduese e ciklit jetësor të infeksionit. Duke vepruar si një instalues, mbikëqyrës, menaxher i ngarkesës dhe mjet pastrimi, ky komponent mbikëqyr vendosjen, vazhdimësinë, monitorimin dhe vetë-heqjen e mundshme.
Dizajni modular i malware-it ndan aftësitë e monitorimit nga ngarkesat kryesore përgjegjëse për minierimin, përshkallëzimin e privilegjeve dhe qëndrueshmërinë. Fleksibiliteti operacional arrihet përmes argumenteve specifike të linjës së komandës që mundësojnë mënyra të dallueshme ekzekutimi:
Pa parametër : Kryen validimin e mjedisit dhe trajton instalimin dhe migrimin në fazat e hershme.
002 Re:0 : Lëshon ngarkesat kryesore, lançon minatorin dhe hyn në një lak monitorimi.
016 : Rinis minatorin nëse ndërpritet.
barusu : Nis një sekuencë vetëshkatërrimi, duke mbyllur komponentët e malware dhe duke hequr skedarët e lidhur me të.
Kjo qasje e strukturuar e ndërrimit të mënyrës rrit qëndrueshmërinë dhe siguron aktivitet të qëndrueshëm të minierave edhe kur ndërmerren veprime mbrojtëse.
Bombë Logjike e Integruar dhe Çaktivizim i Kohësuar
Një karakteristikë e dukshme e malware-it është përfshirja e një bombe logjike. Skema binar merr kohën lokale të sistemit dhe e krahason atë me një afat të caktuar të koduar prej 23 dhjetori 2025.
- Nëse ekzekutohet para 23 dhjetorit 2025, programi keqdashës vazhdon me instalimin e vazhdueshëm dhe vendosjen e minatorëve.
- Nëse ekzekutohet pas kësaj date, ai riniset automatikisht duke përdorur parametrin 'barusu', duke shkaktuar një proces të kontrolluar vetë-çaktivizimi.
Kufiri i paracaktuar sugjeron që fushata ishte menduar të vepronte vazhdimisht deri në atë datë. Afati i fundit mund të korrespondojë me skadimin e infrastrukturës së komandës dhe kontrollit me qira, ndryshimet e parashikuara në tregun e kriptomonedhave ose një tranzicion strategjik drejt një lloji pasues të malware-it.
Përshkallëzimi i Privilegjit dhe Optimizimi i Minierave nëpërmjet BYOVD
Gjatë një rutine standarde infektimi, skedari binar, duke funksionuar si një bartës i pavarur, shkruan të gjithë komponentët e nevojshëm në disk. Midis këtyre është një skedar i ekzekutueshëm legjitim i shërbimit të Telemetry të Windows, i cili keqpërdoret për të ngarkuar në mënyrë anësore DLL-në e dëmshme të minatorit.
Gjithashtu, janë vendosur mekanizma të qëndrueshmërisë, së bashku me komponentë të projektuar për të çaktivizuar mjetet e sigurisë. Për të siguruar privilegje të larta ekzekutimi, malware përdor një teknikë sill-ti-veten-vulnerable-driver (BYOVD) duke përdorur drajverin me të meta 'WinRing0x64.sys'. Ky drajver është i prekur nga CVE-2020-14979, një dobësi me një rezultat CVSS prej 7.8 që lejon përshkallëzimin e privilegjeve.
Duke e integruar këtë shfrytëzim direkt në minatorin e personalizuar XMRig, sulmuesit fitojnë kontroll të nivelit të ulët mbi konfigurimet e CPU-së. Ky optimizim rrit performancën e minierimit RandomX me afërsisht 15% deri në 50%, duke përmirësuar ndjeshëm rentabilitetin.
Përhapja si krimb dhe lëvizja anësore
Ndryshe nga Trojanët tradicionalë që varen vetëm nga ekzekutimi fillestar i përdoruesit, ky variant XMRig përfshin veçori agresive përhapjeje. Ai përhapet në mënyrë aktive nëpërmjet pajisjeve të lëvizshme të ruajtjes, duke mundësuar lëvizje anësore nëpër sisteme, duke përfshirë ato në mjedise me boshllëqe ajri.
Kjo aftësi e ngjashme me krimbin e transformon programin keqdashës në një kërcënim vetëpërhapës, duke zgjeruar ndjeshëm shtrirjen e tij brenda rrjeteve organizative dhe duke rritur shkallën e botnet-it.
Afati kohor operativ dhe implikimet strategjike
Provat mjeko-ligjore tregojnë aktivitet minerar me ndërprerje gjatë gjithë nëntorit 2025, i ndjekur nga një rritje e ndjeshme që filloi më 8 dhjetor 2025. Ky model sugjeron strategji të vendosjes në faza ose aktivizimit që synojnë shmangien e zbulimit të hershëm.
Fushata nënvizon evolucionin e vazhdueshëm të malware-it të mallrave. Duke kombinuar inxhinierinë sociale, imitimin legjitim të softuerit, përhapjen në stilin e krimbave dhe shfrytëzimin në nivel bërthame, aktorët kërcënues kanë projektuar një botnet të qëndrueshëm dhe me performancë të lartë për vjedhjen e kriptomonedhave, i aftë për miniera të qëndrueshme dhe të optimizuara të kriptomonedhave.
