Cybersecurity-Forscher haben eine Kryptojacking-Kampagne, die alte Social Engineering-Tricks mit fortschrittlichen Techniken der Ausbeutung und Ausdauer kombiniert. Im Zentrum des Angriffs gibt es Binaries innerhalb von Piraten-Software-Paketen angeboten: angeblich "freie" Installateure von Büro-Suiten und andere Premium-Tools, die tatsächlich ein böswilliges Ladegerät verstecken, das endet die Bereitstellung eines benutzerdefinierten XMRig-basierten Monkey Miner.
Die Kampagne ist nicht darauf beschränkt, einen Bergbauprozess zu betreiben: sie ist modular, widerstandsfähig und verhält sich gewissermaßen wie ein Wurm. Laut der von Trellix veröffentlichten Analyse fungiert die wiederhergestellte ausführbare als zentrale Steuerung, die Komponenten installieren kann, überwachen, dass der Bergmann weiterhin funktioniert, neu starten Sie es bei Bedarf und in bestimmten Fällen entfernen Sie Tests, wenn bestellt. Diese Trennung von Funktionen durch Betriebsmodi erleichtert es dem Schauspieler, die Mineneffizienz zu erhöhen und die Kontrolle über gefährdete Systeme aufrechtzuerhalten.
Die Eingabemethode ist in Zuversicht verankert: Benutzer, die eine kostenlose Zahlungssoftware suchen, laden ein "Dropper" herunter, das mehrere Geräte auf Festplatte dekomprimiert und schreibt. Sie beinhalten in der Regel eine legitime Kopie eines Systems ausführbar, das für den Abbau von DLL-Seitenladung verwendet wird, und Binaries, die Sicherheitstools deaktivieren oder Persistenzmechanismen installieren. Um die Privilegien zu skalieren und die Minenkapazität zu maximieren, enthält der Betreiber auch einen gefährdeten Fahrer - WinRing0x64.sys -, der einen bekannten Fehler ausnutzt ( CVE-2020-14979) und ermöglicht es, Low-Level-CPU-Konfigurationen zu manipulieren; der gemeldete Effekt ist eine signifikante Zunahme des RandomX-Haschrates.
Neben der Nutzung des gefährdeten Fahrers zeigt die Kampagne Off-the-clock-Verbreitungsverhalten für einen typischen Kryptominer. Die Schadsoftware versucht, durch abnehmbare Mittel zu replizieren und kann sich auch in isolierten Umgebungen (air-gapped) seitlich bewegen, die Sie näher an die Wurm-Kategorie bringt: Es liegt nicht nur an dem Benutzer, den Dropper herunterzuladen, sondern sucht aktiv nach neuen Infektionsvektoren.
Das schädliche Stück enthält auch eine temporäre "logische Bombe": Überprüfen Sie die lokale Zeit des Systems und, wenn das Datum eine vorgegebene Schwelle überschreitet - in diesem Fall, am 23. Dezember 2025 - wird eine kontrollierte Demontage Routine aktiviert. Dieses Verhalten deutet darauf hin, dass Betreiber die Kampagne über Monate oder Jahre hinweg fortsetzen und eine Art koordinierter Übergang oder Schließung geplant haben, vielleicht nach Ablauf der Befehls- und Kontrollinfrastruktur, Änderungen des Kryptomoneda-Marktes oder eine Migration auf eine neue Variante.
In kleinen Fällen zeigt die Forschung von anderen Unternehmen, wie die Kombination von automatisierten Werkzeugen und Sprachassistenten diese Angriffe erleichtern könnte. Darktrace identifizierte ein Artefakt, das höchstwahrscheinlich mit Hilfe eines großen Sprachmodells (LLM) generiert wurde, um die Schwachstelle, die als React2Shell (CVE-2025-55182) bekannt ist, auszunutzen und ein Kit in Python herunterzuladen, das wiederum dazu diente, einen XMRig Bergmann zu starten. Darktrack erklärt wie eine einzige Bewährungssitzung einem Angreifer erlaubte, einen operativen Rahmen zu schaffen, der Dutzende von Hosts kompromittieren kann.
Parallel dazu gibt es Scan- und Ausbeutungstools - wie die von WhoisXML API unter dem Namen ILOVEPOOP -, die Informationen über Systeme, die React2Shell ausgesetzt sind und versuchen, Boden für Massenkampagnen vorzubereiten. Die Analyse von WhoisXML schlägt auch eine Arbeitsteilung vor: Expertenteams hätten das Toolkit entwickelt und weniger ausgefeilte Operatoren hätten es in Großserien-Sweep eingesetzt, wodurch operative Fehler durch Honeypot-Systeme nachweisbar wären. Der Bericht kann einlesen WhoisXML API.
Die Verwendung von fortschrittlichen Sprachmodellen oder Toolkits macht den Angriff nicht neu von seinem letzten Ziel - die Berechnungskraft auf meine zu erhalten -, sondern reduziert die technische Barriere für weniger qualifizierte Akteure und beschleunigt die Entwicklungs- und Bereitstellungskette. Das Ergebnis ist eine zugänglichere und skalierbare Bedrohung.
Für IT-Nutzer und Geräte beinhaltet dies zwei sofortiges Lernen. Zunächst vermeiden Sie Hacking-Software zu allen Kosten: Neben rechtlichen Problemen, inoffizielle Installateure sind einer der einfachsten Vektoren, um Malware einzugeben. Zweitens, schließen Sie ausnutzbare technische Vektoren: halten Systeme und Treiber auf dem neuesten Stand, blockieren Sie die automatische Ausführung von abnehmbaren Mitteln, überwachen Sie CPU Spitzen und haben EDR-Lösungen, die Bergbauverhalten und Sideloading-Techniken identifizieren.
Wenn Sie sich vertiefen möchten, bietet die technische Analyse von Trellix eine detaillierte Aufschlüsselung des Infektionsflusses und der binären Fähigkeiten und ist eine empfohlene Lesung für Antwortgeräte: Bericht von Trellix. Um den Kontext der automatisierten Operation mit IA zu verstehen, bietet der Darktrace-Bericht praktische Beispiele und Warnungen über die Verwendung von LLM durch bösartige Schauspieler. Und wenn Sie nach Kontext auf dem Stück suchen, das ausgenutzt wird, um Privilegien zu skalieren, erklärt die Verwundbarkeit Registerkarte im NVD das technische Problem hinter dem gefährdeten Fahrer: CVE-2020-14979.
Schließlich und obwohl die Geldsumme, die durch jede kryptographische Operation erzeugt wird, bescheiden sein kann, macht die Zugabe von Hunderten oder Tausenden von engagierten Geräten ein sehr kostengünstiges Botnet für die Angreifer. Die Lektion ist klar: Die Grundverteidigungen - Patching, Kontrollen auf abnehmbaren Medien, Entlastungspolitiken und Beobachtbarkeit - bleiben die wirksamsten, um diese Art von Kampagne zu schneiden, bevor sie größere Schäden verursachen.
Wenn Sie kritische Systeme verwalten, lohnt es sich, festzustellen, dass es keine Anzeichen für die Implementierung von XMRig-Prozessen gibt (das offizielle Projekt ist im Gange). GitHub), Boot- und Service-Looms überprüfen und die Verwendung von Drittanbieter-Treibern überprüfen. In Cybersicherheit, Prävention und Früherkennung bleiben die besten Investitionen gegen Bedrohungen, die die alte - menschliche Naivität und Piraten-Software kombinieren - mit der neuen - automatisierten Nutzung und Nutzung von IA.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...