XMRig кампања за криптовалуте
Опсежне истраге су откриле софистицирану кампању крипто-отмице која користи пиратске софтверске пакете за инфицирање система прилагођеним XMRig рударем. Операција се у великој мери ослања на друштвени инжењеринг, оглашавајући бесплатне премијум апликације, као што су крековани канцеларијски пакети, како би намамила кориснике да преузму инсталатере заражене тројанцима.
Ови злонамерни извршни фајлови служе као примарна улазна тачка. Након извршавања, они покрећу пажљиво оркестриран процес инфекције осмишљен да максимизира принос рударења криптовалута, често на рачун стабилности система. Ослањање кампање на обмањујуће тактике дистрибуције истиче континуирану ефикасност софтверске пиратерије као канала за испоруку злонамерног софтвера.
Преглед садржаја
Модуларни систем за инфективне системе са вишеструким оперативним режимима
У сржи напада лежи мултифункционални бинарни програм који функционише као командни центар животног циклуса инфекције. Делујући као инсталатер, чувар, менаџер корисног оптерећења и услужни програм за чишћење, ова компонента надгледа распоређивање, постојаност, праћење и потенцијално самоуклањање.
Модуларни дизајн злонамерног софтвера одваја могућности праћења од основних корисних оптерећења одговорних за рударење, ескалацију привилегија и перзистентност. Оперативна флексибилност се постиже специфичним аргументима командне линије који омогућавају различите режиме извршавања:
Без параметра : Врши валидацију окружења и рукује инсталацијом и миграцијом у раној фази.
002 Re:0 : Испушта примарне корисне терете, покреће рудар и улази у петљу праћења.
016 : Поново покреће рудар ако је прекинут.
barusu : Покреће секвенцу самоуништења, укидајући компоненте злонамерног софтвера и уклањајући повезане датотеке.
Овај структурирани приступ пребацивања режима повећава отпорност и обезбеђује одрживу активност рударења чак и када се предузимају одбрамбене акције.
Уграђена логичка бомба и временски ограничена декомисија
Значајна карактеристика злонамерног софтвера је укључивање логичке бомбе. Бинарни фајл преузима локално време система и упоређује га са чврсто кодираним роком 23. децембра 2025. године.
- Ако се изврши пре 23. децембра 2025. године, злонамерни софтвер наставља са инсталацијом и распоређивањем рудара.
- Ако се изврши након овог датума, аутоматски се поново покреће користећи параметар „barusu“, покрећући контролисани процес самодекомисионирања.
Унапред дефинисани рок сугерише да је кампања требало да се континуирано одвија до тог датума. Рок може одговарати истеку изнајмљене инфраструктуре за командовање и контролу, очекиваним променама на тржишту криптовалута или стратешком преласку на следећи сој малвера.
Ескалација привилегија и оптимизација рударења путем BYOVD-а
Током стандардне рутине инфекције, бинарни фајл, који функционише као самостални носач, записује све потребне компоненте на диск. Међу њима је и легитимни извршни фајл сервиса Windows Telemetry, који се злоупотребљава за учитавање злонамерног DLL-а за копирање.
Такође се примењују механизми перзистентности, заједно са компонентама дизајнираним за онемогућавање безбедносних алата. Да би се осигурала повећана права извршавања, злонамерни софтвер користи технику „донеси свој рањиви драјвер“ (BYOVD) користећи неисправни драјвер „WinRing0x64.sys“. Овај драјвер је погођен CVE-2020-14979, рањивошћу са CVSS оценом 7,8 која дозвољава ескалацију привилегија.
Директном интеграцијом овог експлоита у прилагођени XMRig рудар, нападачи добијају контролу ниског нивоа над конфигурацијама процесора. Ова оптимизација повећава перформансе RandomX рударења за приближно 15% до 50%, значајно побољшавајући профитабилност.
Ширење налик црвима и бочно кретање
За разлику од традиционалних тројанских коња који зависе искључиво од почетног извршавања корисника, ова варијанта XMRig-а укључује карактеристике агресивног ширења. Активно се шири путем преносивих уређаја за складиштење, омогућавајући латерално кретање између система, укључујући и оне у окружењима са ваздушном изолацијом.
Ова способност слична црву трансформише злонамерни софтвер у самопропагирајућу претњу, значајно проширујући његов домет унутар организационих мрежа и повећавајући обим ботнета.
Оперативни временски оквир и стратешке импликације
Форензички докази указују на повремене активности рударења током новембра 2025. године, након чега је уследио значајан пораст почев од 8. децембра 2025. године. Овај образац сугерише фазно распоређивање или стратегије активације усмерене на избегавање раног откривања.
Кампања наглашава континуирану еволуцију робног малвера. Комбиновањем социјалног инжењеринга, имитације легитимног софтвера, ширења у стилу црва и експлоатације на нивоу језгра, актери претње су осмислили издржљив и високо ефикасан ботнет за криптовалуте, способан за одрживо и оптимизовано рударење криптовалута.
