🔥 Fique por dentro das novidades mais quentes do momento! 🔥
Não deixe essa passar: clique e saiba tudo!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Pesquisadores de segurança cibernética divulgaram detalhes de uma nova campanha de cryptojacking que usa pacotes de software pirata como iscas para implantar um programa de mineração XMRig personalizado em hosts comprometidos.
“A análise do conta-gotas recuperado, dos gatilhos de persistência e da carga útil de mineração revela uma infecção sofisticada e em vários estágios, priorizando o hashrate máximo de mineração de criptomoedas, muitas vezes desestabilizando o sistema da vítima”, disse o pesquisador da Trellix, Aswath A, em um relatório técnico publicado na semana passada.
“Além disso, o malware exibe capacidades semelhantes às de um worm, espalhando-se por dispositivos de armazenamento externos, permitindo movimento lateral mesmo em ambientes isolados”.
O ponto de entrada do ataque é o uso de iscas de engenharia social, anunciando software premium gratuito na forma de pacotes de software pirata, como instaladores de suítes de produtividade de escritório, para enganar usuários desavisados e fazê-los baixar executáveis com malware.
O binário atua como o sistema nervoso central da infecção, desempenhando diferentes funções como instalador, cão de guarda, gerenciador de carga útil e limpador para supervisionar diferentes aspectos do ciclo de vida do ataque. Ele apresenta um design modular que separa os recursos de monitoramento das cargas principais responsáveis pela mineração de criptomoedas, escalonamento de privilégios e persistência se for encerrado.
Essa flexibilidade, ou troca de modo, é obtida por meio de argumentos de linha de comando -
Não há parâmetros para validação e migração do ambiente durante a fase inicial de instalação.
002 Re:0, para descartar as cargas principais, iniciar o minerador e entrar em um loop de monitoramento.
016, para reiniciar o processo de mineração se ele for encerrado.
barusu, por iniciar uma sequência de autodestruição encerrando todos os componentes de malware e excluindo arquivos.
Presente no malware está uma bomba lógica que opera recuperando a hora do sistema local e comparando-a com um carimbo de data/hora predefinido -
Se for antes de 23 de dezembro de 2025, o malware prossegue com a instalação dos módulos de persistência e o lançamento do minerador.
Se for depois de 23 de dezembro de 2025, o binário é lançado com o argumento “barusu”, resultando em um “descomissionamento controlado” da infecção.
O prazo difícil de 23 de dezembro de 2025 indica que a campanha foi projetada para ser executada indefinidamente em sistemas comprometidos, com a data provavelmente sinalizando a expiração da infraestrutura de comando e controle (C2) alugada, uma mudança prevista no mercado de criptomoedas ou uma mudança planejada para uma nova variante de malware, disse Trellix.
Legenda - Inventário geral de arquivos
No caso da rotina de infecção padrão, o binário – que atua como um “transportador independente” para todas as cargas maliciosas – grava os diferentes componentes no disco, incluindo um executável legítimo do serviço de telemetria do Windows que é usado para fazer o sideload da DLL do minerador.
Também foram descartados arquivos para garantir a persistência, encerrar ferramentas de segurança e executar o minerador com privilégios elevados usando um driver legítimo, mas defeituoso ("WinRing0x64.sys") como parte de uma técnica chamada traga seu próprio driver vulnerável (BYOVD). O driver é suscetível a uma vulnerabilidade rastreada como CVE-2020-14979 (pontuação CVSS: 7,8) que permite escalonamento de privilégios.
A integração desta exploração no minerador XMRig visa ter maior controle sobre a configuração de baixo nível da CPU e aumentar o desempenho de mineração (ou seja, o hashrate RandomX) em 15% a 50%.
“Uma característica distintiva desta variante do XMRig é sua capacidade de propagação agressiva”, disse Trellix. "Ele não depende apenas do download do dropper pelo usuário; ele tenta ativamente se espalhar para outros sistemas através de mídia removível. Isso transforma o malware de um simples Trojan em um worm."
As evidências mostram que a actividade mineira ocorreu, embora esporadicamente, ao longo de Novembro de 2025, antes de aumentar em 8 de Dezembro de 2025.
“Esta campanha serve como um poderoso lembrete de que o malware comum continua a inovar”, concluiu a empresa de segurança cibernética. “Ao encadear engenharia social, mascaramento de software legítimo, propagação semelhante a worm e exploração em nível de kernel, os invasores criaram uma botnet resiliente e altamente eficiente”.
Legenda - Uma topologia "Circular Watchdog" para garantir persistência
A divulgação ocorre no momento em que a Darktrace disse que identificou um artefato de malware provavelmente gerado usando um modelo de linguagem grande (LLM) que explora a vulnerabilidade React2Shell (CVE-2025-55182, pontuação CVSS: 10.0) para baixar um kit de ferramentas Python, que aproveita o acesso para descartar um minerador XMRig executando um comando shell.
“Embora a quantidade de dinheiro gerada pelo invasor neste caso seja relativamente baixa e a criptomineração esteja longe de ser uma técnica nova, esta campanha é a prova de que os LLMs baseados em IA tornaram o crime cibernético mais acessível do que nunca”, disseram os pesquisadores Nathaniel Bill e Nathaniel Jones.
"Uma única sessão de estímulo com um modelo foi suficiente
“A análise do conta-gotas recuperado, dos gatilhos de persistência e da carga útil de mineração revela uma infecção sofisticada e em vários estágios, priorizando o hashrate máximo de mineração de criptomoedas, muitas vezes desestabilizando o sistema da vítima”, disse o pesquisador da Trellix, Aswath A, em um relatório técnico publicado na semana passada.
“Além disso, o malware exibe capacidades semelhantes às de um worm, espalhando-se por dispositivos de armazenamento externos, permitindo movimento lateral mesmo em ambientes isolados”.
O ponto de entrada do ataque é o uso de iscas de engenharia social, anunciando software premium gratuito na forma de pacotes de software pirata, como instaladores de suítes de produtividade de escritório, para enganar usuários desavisados e fazê-los baixar executáveis com malware.
O binário atua como o sistema nervoso central da infecção, desempenhando diferentes funções como instalador, cão de guarda, gerenciador de carga útil e limpador para supervisionar diferentes aspectos do ciclo de vida do ataque. Ele apresenta um design modular que separa os recursos de monitoramento das cargas principais responsáveis pela mineração de criptomoedas, escalonamento de privilégios e persistência se for encerrado.
Essa flexibilidade, ou troca de modo, é obtida por meio de argumentos de linha de comando -
Não há parâmetros para validação e migração do ambiente durante a fase inicial de instalação.
002 Re:0, para descartar as cargas principais, iniciar o minerador e entrar em um loop de monitoramento.
016, para reiniciar o processo de mineração se ele for encerrado.
barusu, por iniciar uma sequência de autodestruição encerrando todos os componentes de malware e excluindo arquivos.
Presente no malware está uma bomba lógica que opera recuperando a hora do sistema local e comparando-a com um carimbo de data/hora predefinido -
Se for antes de 23 de dezembro de 2025, o malware prossegue com a instalação dos módulos de persistência e o lançamento do minerador.
Se for depois de 23 de dezembro de 2025, o binário é lançado com o argumento “barusu”, resultando em um “descomissionamento controlado” da infecção.
O prazo difícil de 23 de dezembro de 2025 indica que a campanha foi projetada para ser executada indefinidamente em sistemas comprometidos, com a data provavelmente sinalizando a expiração da infraestrutura de comando e controle (C2) alugada, uma mudança prevista no mercado de criptomoedas ou uma mudança planejada para uma nova variante de malware, disse Trellix.
Legenda - Inventário geral de arquivos
No caso da rotina de infecção padrão, o binário – que atua como um “transportador independente” para todas as cargas maliciosas – grava os diferentes componentes no disco, incluindo um executável legítimo do serviço de telemetria do Windows que é usado para fazer o sideload da DLL do minerador.
Também foram descartados arquivos para garantir a persistência, encerrar ferramentas de segurança e executar o minerador com privilégios elevados usando um driver legítimo, mas defeituoso ("WinRing0x64.sys") como parte de uma técnica chamada traga seu próprio driver vulnerável (BYOVD). O driver é suscetível a uma vulnerabilidade rastreada como CVE-2020-14979 (pontuação CVSS: 7,8) que permite escalonamento de privilégios.
A integração desta exploração no minerador XMRig visa ter maior controle sobre a configuração de baixo nível da CPU e aumentar o desempenho de mineração (ou seja, o hashrate RandomX) em 15% a 50%.
“Uma característica distintiva desta variante do XMRig é sua capacidade de propagação agressiva”, disse Trellix. "Ele não depende apenas do download do dropper pelo usuário; ele tenta ativamente se espalhar para outros sistemas através de mídia removível. Isso transforma o malware de um simples Trojan em um worm."
As evidências mostram que a actividade mineira ocorreu, embora esporadicamente, ao longo de Novembro de 2025, antes de aumentar em 8 de Dezembro de 2025.
“Esta campanha serve como um poderoso lembrete de que o malware comum continua a inovar”, concluiu a empresa de segurança cibernética. “Ao encadear engenharia social, mascaramento de software legítimo, propagação semelhante a worm e exploração em nível de kernel, os invasores criaram uma botnet resiliente e altamente eficiente”.
Legenda - Uma topologia "Circular Watchdog" para garantir persistência
A divulgação ocorre no momento em que a Darktrace disse que identificou um artefato de malware provavelmente gerado usando um modelo de linguagem grande (LLM) que explora a vulnerabilidade React2Shell (CVE-2025-55182, pontuação CVSS: 10.0) para baixar um kit de ferramentas Python, que aproveita o acesso para descartar um minerador XMRig executando um comando shell.
“Embora a quantidade de dinheiro gerada pelo invasor neste caso seja relativamente baixa e a criptomineração esteja longe de ser uma técnica nova, esta campanha é a prova de que os LLMs baseados em IA tornaram o crime cibernético mais acessível do que nunca”, disseram os pesquisadores Nathaniel Bill e Nathaniel Jones.
"Uma única sessão de estímulo com um modelo foi suficiente
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #campanha #wormable #xmrig #usa #exploração #byovd #e #bomba #lógica #baseada #no #tempo
🚀 Mais conteúdos incríveis estão por vir, fique atento!
Postar um comentário