Wormable XMRig кампања користи BYOVD експлоит и временски базирана логичка бомба

Истражувачи за сајбер безбедност објавија детали за нова cryptojacking кампања што користи пиратски софтверски пакети како мамка за да инсталира прилагодена XMRig miner програма на компромитирани системи.

„Анализата на пронајдениот dropper, механизмите за перзистентност и mining payload-от открива софистицирана, повеќестепена инфекција која дава приоритет на максимален hashrate за копање криптовалута, често дестабилизирајќи го системот на жртвата“, изјави истражувачот од Trellix, Aswath A, во технички извештај објавен минатата недела.

„Дополнително, малверот покажува способности слични на црв (worm), ширејќи се преку надворешни уреди за складирање, овозможувајќи латерално движење дури и во air-gapped средини.“

Влезната точка на нападот е користење на социјален инженеринг мамки, рекламирајќи бесплатен премиум софтвер во форма на пиратски софтверски пакети, како инсталери за канцелариски пакети, за да ги измамат корисниците да преземат извршни датотеки заразени со малвер.

Бинарната датотека функционира како централен нервен систем на инфекцијата, извршувајќи различни улоги како инсталер, watchdog, менаџер на payload и чистач, за да управува со различни аспекти од животниот циклус на нападот. Таа има модуларен дизајн што ги одвојува функциите за мониторинг од главните payload-и одговорни за копање криптовалута, ескалација на привилегии и перзистентност доколку процесот биде прекинат. Оваа флексибилност, односно префрлање меѓу режими, се постигнува преку аргументи од командната линија –

Без параметар – за валидација на околината и миграција во раната фаза на инсталација.
002 Re:0 – за поставување на главните payload-и, стартување на miner-от и влегување во monitoring циклус.
016 – за рестартирање на miner процесот доколку биде убиен.
barusu – за иницирање на self-destruct секвенца со прекинување на сите малвер компоненти и бришење на датотеки.

Во рамките на малверот постои логичка бомба што функционира така што го презема локалното системско време и го споредува со однапред дефиниран временски печат –

Доколку датумот е пред 23 декември 2025 година, малверот продолжува со инсталирање на модулите за перзистентност и стартување на miner-от.
Доколку датумот е по 23 декември 2025 година, бинарната датотека се стартува со аргументот „barusu“, што резултира со „контролирано повлекување“ на инфекцијата.

Строгиот рок од 23 декември 2025 година укажува дека кампањата била дизајнирана да работи неограничено на компромитирани системи, при што датумот најверојатно означува истекување на изнајмената command-and-control (C2) инфраструктура, предвидена промена на пазарот на криптовалути или планиран премин кон нова варијанта на малвер, соопшти Trellix.

Во случај на стандардната рутина на инфекција, бинарната датотека – која функционира како „самостоен носач“ на сите малициозни payload-и – ги запишува различните компоненти на диск, вклучувајќи легитимна Windows Telemetry сервис извршна датотека што се користи за sideload на miner DLL.

Исто така се поставуваат датотеки за обезбедување перзистентност, прекинување на безбедносни алатки и извршување на miner-от со зголемени привилегии преку користење на легитимен, но ранлив драјвер („WinRing0x64.sys“) како дел од техника наречена bring your own vulnerable driver (BYOVD). Драјверот е подложен на ранливост евидентирана како CVE-2020-14979 (CVSS резултат: 7.8), која овозможува ескалација на привилегии.

Интеграцијата на овој експлоит во XMRig miner-от има цел да овозможи поголема контрола врз ниско-нивовската конфигурација на процесорот и да ги зголеми перформансите на копање (односно RandomX hashrate) за 15% до 50%.

„Карактеристична особина на оваа XMRig варијанта е нејзината агресивна способност за ширење“, соопшти Trellix. „Таа не се потпира само на тоа корисникот да го преземе dropper-от; активно се обидува да се прошири на други системи преку преносливи медиуми. Ова го трансформира малверот од едноставен тројанец во црв (worm).“

Доказите покажуваат дека активноста на копање се одвивала, иако повремено, во текот на ноември 2025 година, пред нагло да се зголеми на 8 декември 2025 година.

„Оваа кампања служи како силен потсетник дека комерцијалниот малвер продолжува да иновира“, заклучи компанијата за сајбер безбедност. „Со поврзување на социјален инженеринг, маскирање како легитимен софтвер, ширење слично на црв и експлоатација на ниво на кернел, напаѓачите создадоа отпорна и високо ефикасна ботнет мрежа.“

Откритието доаѓа откако Darktrace соопшти дека идентификувал малициозен артефакт најверојатно генериран со помош на голем јазичен модел (LLM), кој ја експлоатира ранливоста React2Shell (CVE-2025-55182, CVSS резултат: 10.0) за преземање Python алатник, што го користи пристапот за поставување XMRig miner преку извршување shell команда.

„Иако износот на пари генериран од напаѓачот во овој случај е релативно мал, а cryptomining не е нова техника, оваа кампања е доказ дека AI-базираните LLM модели го направија сајбер криминалот подостапен од кога било досега“, изјавија истражувачите Nathaniel Bill и Nathaniel Jones.

„Една единствена сесија на внесување инструкции (prompting) со моделот беше доволна за овој напаѓач да генерира функционална експлоит рамка и да компромитира повеќе од деведесет системи, демонстрирајќи дека оперативната вредност на AI за противниците не треба да се потценува.“

Според WhoisXML API, напаѓачите користеле и алатник наречен ILOVEPOOP за скенирање на изложени системи кои сè уште се ранливи на React2Shell, најверојатно со цел да постават основа за идни напади. Активноста на скенирање особено била насочена кон владини, одбранбени, финансиски и индустриски организации во САД.

„Она што го прави ILOVEPOOP необичен е несогласувањето помеѓу начинот на кој е изграден и начинот на кој бил користен“, изјави Alex Ronquillo, потпретседател за производ во WhoisXML API. „Самиот код одразува експертско ниво на познавање на внатрешната структура на React Server Components и користи техники на напад што не се пронајдени во ниту еден друг документиран React2Shell алатник.“

„Но лицата што го користеле направиле основни оперативни грешки при интеракција со honeypot мониторинг системите на WhoisXML API – грешки што софистициран напаѓач обично би ги избегнал. Практично, оваа разлика укажува на поделба на трудот.“

„Можно е да станува збор за две различни групи: една што го изградила алатот и друга што го користи. Овој образец го гледаме кај државно спонзорирани операции – способен тим ги развива алатките, а потоа им ги предава на оператори кои спроведуваат масовни скенирања. Операторите не мора да разбираат како функционира алатката – доволно е само да ја извршуваат.“

Извори:

• The Hacker News – Wormable XMRig Campaign Uses BYOVD Exploit and Time-Based Logic Bomb The Hacker News