Pesquisadores de cibersegurança devem desencorajar uma campanha de cryptojacking que combina velhas artimanhas de engenharia social com técnicas avançadas de exploração e persistência. No centro do ataque, há binários oferecidos dentro de pacotes de software pirata: instaladores supostamente “gratuitos” de suítes de escritório e outras ferramentas premium que, na verdade, escondem um carregador malicioso que termina desenvolvendo um mineiro de Monero personalizado baseado em XMRig.
A campanha não se limita a executar um processo de mineração: é modular, resiliente e, em certos aspectos, se comporta como um verme. De acordo com a análise publicada por Trellix, o executável recuperado atua como um controlador central que pode instalar componentes, vigiar que o mineiro continue a funcionar, reiniciá-lo se necessário e, em certos casos, eliminar testes se for ordenado. Essa separação de funções através de modos de operação facilita que o ator aumente a eficiência do minado e mantenha o controle sobre sistemas comprometidos.
O método de entrada está ancorado na confiança: usuários que buscam software de pagamento sem custo acabam descarregando um “dropper” que descomprime e escreve múltiplos artefatos em disco. Entre eles costuma figurar uma cópia legítima de um executável do sistema que se aproveita para sideloading do DLL do mineiro, e binários que desactivam ferramentas de segurança ou instalam mecanismos de persistência. Para escalar privilégios e maximizar a capacidade de minado, o operador também incorpora um driver vulnerável —WinRing0x64.sys — que explora uma falha conhecida ( CVE-2020-14979) e permite manipular configurações de baixo nível da CPU; o efeito relatado é um aumento apreciável do hashrate RandomX.
Além do aproveitamento do driver vulnerável, a campanha mostra comportamentos de propagação fora do habitual para um cryptominer típico. O malware tenta se replicar através de meios removíveis e pode se mover lateralmente mesmo em ambientes isolados (air-gapped), O que o aproxima da categoria de minhoca: não depende apenas de que o usuário baixe o dropper, mas busca ativamente novos vetores de infecção.
A peça maliciosa incorpora também uma “bomba lógica” temporária: consulta a hora local do sistema e, se a data exceder um limiar pré-definido - neste caso, em 23 de dezembro de 2025 -, uma rotina de desmantelamento controlado é ativada. Esse comportamento sugere que os operadores pretendiam manter a campanha em andamento durante meses ou anos e planejavam algum tipo de transição ou fechamento coordenado, talvez por caducidade de infraestrutura de comando e controle, mudanças no mercado de criptomoedas ou migração para uma nova variante.
Se fosse pouco, a pesquisa de outras assinaturas revela como a combinação de ferramentas automatizadas e assistentes de linguagem poderia facilitar esses ataques. Darktrace identificou um artefato que provavelmente foi gerado com a ajuda de um modelo de linguagem grande (LLM) para explorar a vulnerabilidade conhecida como React2Shell (CVE-2025-55182) e baixar um kit em Python que, por sua vez, servia para lançar um mineiro XMRig. Darktrace explica Como uma única sessão de prompting permitiu a um atacante produzir um quadro operacional capaz de comprometer dezenas de hosts.
Paralelamente, existem ferramentas de digitalização e exploração — como a catalogada por WhoisXML API sob o nome ILOVEPOOP — que levantam informações sobre sistemas expostos a React2Shell e buscam preparar terreno para campanhas em massa. A análise de WhoisXML sugere, além disso, uma divisão do trabalho: equipamentos especialistas teriam desenvolvido o toolkit e operadores menos sofisticados o teriam implantado em barridos em larga escala, cometendo erros operacionais detectáveis por sistemas de honeypot. O relatório pode ser lido. WhoisXML API.
O uso de modelos de linguagem ou toolkits avançados não converte o ataque em novidade a partir do seu objetivo final – ou obtenha poder computacional para minar –, mas reduz a barreira técnica para atores com menos habilidades e acelera a cadeia de desenvolvimento e implantação. O resultado é uma ameaça mais acessível e com maior capacidade de escala.
Para usuários e equipes de TI isso implica duas aprendizagems imediatas. Primeiro, evitar a todo custo o software pirateado: além de questões legais, os instaladores não oficiais são um dos vetores mais simples para introduzir malware. Segundo, fechar vetores técnicos exploráveis: manter sistemas e drivers atualizados, bloquear a execução automática de meios removíveis, monitorar picos de uso de CPU e dispor de soluções EDR que identifiquem comportamentos de mina e técnicas de sideloading.
Se você quiser aprofundar, a análise técnica de Trellix oferece uma desagregação detalhada do fluxo de infecção e das capacidades do binário, e é uma leitura recomendável para equipes de resposta: relatório do Trellix. Para compreender o contexto da exploração automatizada com IA, o relatório de Darktrace traz exemplos práticos e alertas sobre o uso de LLM por atores maliciosos. E se você procura contexto sobre a peça explorada para escalar privilégios, a ficha da vulnerabilidade no NVD esclarece o problema técnico por trás do driver vulnerável: CVE-2020-14979.
Por último, embora a soma monetária que produz cada operação de cryptomining possa ser modesta, a agregação de centenas ou milhares de equipamentos comprometidos compõe uma botnet muito rentável para os atacantes. A lição é clara: as defesas básicas — aparcheo, os controlos sobre meios de transferência, as políticas de descarga e de observação — continuam a ser as mais eficazes para cortar este tipo de campanhas antes de gerarem danos maiores.
Se você gerir sistemas críticos, valerá a pena confirmar que não existem indícios de processos XMRig em execução (o projeto oficial está em GitHub), revisar logs de arranque e serviços, e auditar o uso de drivers de terceiros. Em cibersegurança, a prevenção e a detecção precoce continuam a ser o melhor investimento contra ameaças que combinam o velho –ingenuidade humana e software pirata – com o novo –explotação automatizada e uso de IA.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...