Rabattoffert för flera licenser
Hotdatabas Skadlig programvara XMRig-kryptokapningskampanj

XMRig-kryptokapningskampanj

Med Mezo år Skadlig programvara, Advanced Persistent Threat (APT)
Översätt till:

Omfattande undersökningar har avslöjat en sofistikerad kryptokapningskampanj som utnyttjar piratkopierade programvarupaket för att infektera system med en anpassad XMRig-miner. Verksamheten förlitar sig starkt på social ingenjörskonst, där man marknadsför gratis premiumapplikationer, såsom spruckna kontorssviter, för att locka användare att ladda ner trojanska installationsprogram.

Dessa skadliga körbara filer fungerar som den primära ingångspunkten. När de väl körts initierar de en noggrant orkestrerad infektionsprocess utformad för att maximera kryptovalutautvinningens produktion, ofta på bekostnad av systemstabilitet. Kampanjens beroende av vilseledande distributionstaktik belyser den fortsatta effektiviteten av piratkopiering av programvara som en leveranskanal för skadlig kod.

En modulär infektionsmotor med flera driftslägen

Kärnan i attacken ligger en multifunktionell binärfil som fungerar som kommandocentral för infektionens livscykel. Denna komponent fungerar som installationsprogram, övervakningssystem, nyttolasthanterare och rensningsverktyg och övervakar distribution, persistens, övervakning och potentiell självborttagning.

Den skadliga programvarans modulära design separerar övervakningsfunktioner från kärnnyttolaster som ansvarar för mining, privilegieeskalering och persistens. Operativ flexibilitet uppnås genom specifika kommandoradsargument som möjliggör distinkta exekveringslägen:

Ingen parameter : Utför miljövalidering och hanterar installation och migrering i tidigt skede.

002 Re:0 : Släpper de primära nyttolastena, startar minern och går in i en övervakningsslinga.

016 : Startar om minern om den avslutas.

barusu : Initierar en självförstörande sekvens, avslutar skadlig kod och tar bort tillhörande filer.

Denna strukturerade metod för att byta driftsätt förbättrar motståndskraften och säkerställer fortsatt gruvaktivitet även när defensiva åtgärder vidtas.

Inbyggd logisk bomb och tidsinställd avveckling

En anmärkningsvärd egenskap hos den skadliga programvaran är att den innehåller en logisk bomb. Binärfilen hämtar systemets lokala tid och jämför den med en hårdkodad deadline den 23 december 2025.

  • Om den körs före den 23 december 2025 fortsätter skadlig programvaran med persistensinstallation och miner-distribution.
  • Om den körs efter detta datum startas den om automatiskt med parametern 'barusu', vilket utlöser en kontrollerad självavstängningsprocess.

Den fördefinierade tidsfristen antyder att kampanjen var avsedd att drivas kontinuerligt fram till det datumet. Tidsfristen kan motsvara utgången av hyrd kommando- och kontrollinfrastruktur, förväntade förändringar på kryptovalutamarknaden eller en strategisk övergång till en efterföljande skadlig kodstam.

Privilegieeskalering och miningoptimering via BYOVD

Under en standardinfektionsrutin skriver binärfilen, som fungerar som en självständig bärare, alla nödvändiga komponenter till disken. Bland dessa finns en legitim körbar Windows Telemetry-tjänst, som missbrukas för att sidladda den skadliga miner-DLL:n.

Persistensmekanismer används också, tillsammans med komponenter utformade för att inaktivera säkerhetsverktyg. För att säkerställa utökade exekveringsbehörigheter använder den skadliga programvaran en BYOVD-teknik (bring-your-own-vulnerable-driver) med den felaktiga drivrutinen 'WinRing0x64.sys'. Denna drivrutin påverkas av CVE-2020-14979, en sårbarhet med en CVSS-poäng på 7,8 som tillåter eskalering av behörigheter.

Genom att integrera denna exploit direkt i den anpassade XMRig-minern får angriparna låg kontroll över CPU-konfigurationerna. Denna optimering ökar RandomX-miningprestanda med cirka 15 % till 50 %, vilket avsevärt förbättrar lönsamheten.

Maskliknande förökning och lateral rörelse

Till skillnad från traditionella trojaner som enbart är beroende av initial användarkörning, har denna XMRig-variant aggressiva spridningsfunktioner. Den sprider sig aktivt via flyttbara lagringsenheter, vilket möjliggör lateral förflyttning över system, inklusive de i miljöer med luftgap.

Denna maskliknande förmåga omvandlar skadlig kod till ett självspridande hot, vilket avsevärt breddar dess räckvidd inom organisatoriska nätverk och ökar botnätets skala.

Operativ tidslinje och strategiska konsekvenser

Forensiska bevis tyder på intermittent gruvaktivitet under hela november 2025, följt av en markant ökning med början den 8 december 2025. Detta mönster tyder på etappvisa utplacerings- eller aktiveringsstrategier som syftar till att undvika tidig upptäckt.

Kampanjen understryker den pågående utvecklingen av skadlig programvara som används i vanliga fall. Genom att kombinera social ingenjörskonst, legitim programvaruimitation, maskliknande spridning och utnyttjande på kärnnivå har hotaktörerna konstruerat ett hållbart och högpresterande botnät för kryptokapning som kan utföra hållbar och optimerad kryptovalutautvinning.

Trendigt

Mest sedda

Läser in...