Chiến dịch tấn công chiếm đoạt tiền điện tử XMRig
Các cuộc điều tra sâu rộng đã phát hiện ra một chiến dịch tấn công khai thác tiền điện tử tinh vi, lợi dụng các gói phần mềm lậu để lây nhiễm vào hệ thống bằng phần mềm khai thác XMRig tùy chỉnh. Chiến dịch này dựa nhiều vào kỹ thuật thao túng tâm lý, quảng cáo các ứng dụng cao cấp miễn phí, chẳng hạn như các bộ phần mềm văn phòng bị bẻ khóa, để dụ dỗ người dùng tải xuống các trình cài đặt chứa mã độc Trojan.
Các tập tin thực thi độc hại này đóng vai trò là điểm xâm nhập chính. Sau khi được thực thi, chúng khởi động một quy trình lây nhiễm được dàn dựng cẩn thận nhằm tối đa hóa sản lượng khai thác tiền điện tử, thường là với cái giá phải trả là sự ổn định của hệ thống. Việc chiến dịch này dựa vào các chiến thuật phân phối lừa đảo cho thấy tính hiệu quả liên tục của việc vi phạm bản quyền phần mềm như một kênh phân phối phần mềm độc hại.
Mục lục
Một hệ thống lây nhiễm dạng mô-đun với nhiều chế độ hoạt động.
Cốt lõi của cuộc tấn công nằm ở một tệp nhị phân đa chức năng hoạt động như trung tâm điều khiển của vòng đời lây nhiễm. Hoạt động như một trình cài đặt, trình giám sát, trình quản lý tải trọng và tiện ích dọn dẹp, thành phần này giám sát việc triển khai, duy trì, theo dõi và khả năng tự gỡ bỏ.
Thiết kế dạng mô-đun của phần mềm độc hại tách biệt khả năng giám sát khỏi các thành phần cốt lõi chịu trách nhiệm khai thác dữ liệu, leo thang đặc quyền và duy trì hoạt động. Tính linh hoạt trong vận hành đạt được thông qua các đối số dòng lệnh cụ thể cho phép các chế độ thực thi khác nhau:
Không có tham số : Thực hiện xác thực môi trường và xử lý cài đặt và di chuyển ở giai đoạn đầu.
002 Re:0 : Thả các tải trọng chính, khởi chạy phần mềm khai thác và đi vào vòng lặp giám sát.
016 : Khởi động lại máy đào nếu nó bị tắt.
barusu : Khởi động chuỗi tự hủy, chấm dứt các thành phần phần mềm độc hại và xóa các tệp liên quan.
Cách tiếp cận chuyển đổi chế độ có cấu trúc này giúp tăng cường khả năng phục hồi và đảm bảo hoạt động khai thác được duy trì ngay cả khi các biện pháp phòng vệ được thực hiện.
Bom logic nhúng và việc ngừng hoạt động theo thời gian định trước
Một đặc điểm đáng chú ý của phần mềm độc hại này là việc tích hợp một quả bom logic. Tệp nhị phân sẽ truy xuất thời gian cục bộ của hệ thống và so sánh nó với thời hạn được mã hóa cứng là ngày 23 tháng 12 năm 2025.
- Nếu được thực thi trước ngày 23 tháng 12 năm 2025, phần mềm độc hại sẽ tiến hành cài đặt và triển khai phần mềm khai thác.
- Nếu được thực thi sau ngày này, nó sẽ tự động khởi chạy lại bằng tham số 'barusu', kích hoạt quy trình tự hủy có kiểm soát.
Thời hạn được xác định trước cho thấy chiến dịch này dự định hoạt động liên tục cho đến ngày đó. Hạn chót có thể tương ứng với thời điểm hết hạn của cơ sở hạ tầng điều khiển và giám sát thuê, những thay đổi dự kiến trên thị trường tiền điện tử, hoặc một quá trình chuyển đổi chiến lược sang một chủng phần mềm độc hại kế nhiệm.
Tăng cường đặc quyền và tối ưu hóa khai thác thông qua BYOVD
Trong quá trình lây nhiễm thông thường, tệp nhị phân, hoạt động như một tác nhân độc lập, ghi tất cả các thành phần cần thiết vào ổ đĩa. Trong số đó có một tệp thực thi dịch vụ Windows Telemetry hợp pháp, bị lợi dụng để tải tệp DLL khai thác độc hại.
Các cơ chế duy trì hoạt động cũng được triển khai, cùng với các thành phần được thiết kế để vô hiệu hóa các công cụ bảo mật. Để đảm bảo quyền thực thi cao hơn, phần mềm độc hại sử dụng kỹ thuật "tự cung cấp trình điều khiển dễ bị tổn thương" (BYOVD) bằng cách sử dụng trình điều khiển bị lỗi 'WinRing0x64.sys'. Trình điều khiển này bị ảnh hưởng bởi CVE-2020-14979, một lỗ hổng có điểm CVSS là 7.8 cho phép leo thang đặc quyền.
Bằng cách tích hợp lỗ hổng này trực tiếp vào phần mềm khai thác XMRig tùy chỉnh, kẻ tấn công có được quyền kiểm soát cấp thấp đối với cấu hình CPU. Việc tối ưu hóa này giúp tăng hiệu suất khai thác RandomX lên khoảng 15% đến 50%, cải thiện đáng kể lợi nhuận.
Sự sinh sản theo kiểu giun và chuyển động ngang
Không giống như các Trojan truyền thống chỉ phụ thuộc vào việc người dùng thực thi ban đầu, biến thể XMRig này tích hợp các tính năng lây lan mạnh mẽ. Nó chủ động lây lan qua các thiết bị lưu trữ di động, cho phép di chuyển ngang giữa các hệ thống, bao gồm cả những hệ thống trong môi trường không kết nối mạng.
Khả năng lây lan như sâu máy tính này biến phần mềm độc hại thành mối đe dọa tự lan truyền, mở rộng đáng kể phạm vi ảnh hưởng trong mạng lưới tổ chức và tăng quy mô mạng botnet.
Tiến độ vận hành và ý nghĩa chiến lược
Bằng chứng pháp y cho thấy hoạt động khai thác diễn ra không liên tục trong suốt tháng 11 năm 2025, sau đó tăng mạnh bắt đầu từ ngày 8 tháng 12 năm 2025. Mô hình này cho thấy các chiến lược triển khai hoặc kích hoạt theo từng giai đoạn nhằm tránh bị phát hiện sớm.
Chiến dịch này nhấn mạnh sự phát triển không ngừng của phần mềm độc hại thương mại. Bằng cách kết hợp kỹ thuật xã hội, giả mạo phần mềm hợp pháp, lây lan kiểu sâu máy tính và khai thác cấp độ nhân hệ điều hành, các tác nhân đe dọa đã tạo ra một mạng botnet khai thác tiền điện tử bền vững và hiệu suất cao, có khả năng khai thác tiền điện tử liên tục và tối ưu hóa.
