XMRIG kötü amaçlı yazılım, kalıcılığı korumak için Windows güncellemelerini ve planlanan görevleri devre dışı bırakır


Bir kripto para birimi olan Monero (XMR), 2025’in başlarında muhteşem bir dalgalanma gördü ve Mayıs ayında% 45 artarak Nisan ayında kayda değer bir zirve yaptı.

Bu dalgalanma, çalınan varlıkların tek bir birey tarafından Monero’ya dönüştürüldüğü ve gizlilik odaklı madeni paraya dikkat çektiği bildirildiği ABD’deki yüksek profilli bir bitcoin hırsızlığı ile çakıştı.

Bu finansal artışın ortasında, XMRIG Meşru Monero Madencilik Aracı, Nisan ayında önemli ölçüde optimizasyon güncellemeleri aldı ve potansiyel olarak hem meşru kullanıcıları hem de tehdit aktörlerini yeteneklerinden yararlanmak için çekti.

Kriptominasyon tehdidinin yükselişi

Bununla birlikte, Rusya, Azerbaycan ve Özbekistan’ı etkileyen 2023 versiyonlarının aksine, sofistike saldırı zincirlerini sergileyen ve Rusya, Belçika, Yunanistan ve Çin de dahil olmak üzere daha geniş bir ülkeyi hedef alan yeni bir kötü niyetli XMRIG varyant dalgası ortaya çıktı.

Xmrig kötü amaçlı yazılım
Son XMRIG kriptominasyon saldırısının temel aşamaları.

XMRIG tehdidinin bu evrimi, PowerShell gibi önceden yüklenmiş Windows araçlarını kullanarak yükleri yürütmek, algılamadan kaçınmak ve kalıcılık oluşturmak için kara ikili ve senaryoları (LOLBA’lar) tekniklerini kullanan çok aşamalı bir yaklaşımdan yararlanır.

En son XMRIG kötü amaçlı yazılım kampanyası, bilinmeyen bir başlangıç ​​enfeksiyon vektörü ile başlar, ancak Svchost.exe, 1.cmd olarak adlandırılan bir toplu iş dosyası yürütmek için bir CMD işlemi oluşturduğunda kötü niyetli davranışı tetiklenir.

Rapora göre, bu komut dosyası yeniden enfeksiyonu önlemek için %AppData %\ temp dizininde bir işaretleyici dosyasını (check.txt) kontrol eder, ardından Windows Defender kayıt defteri ayarlarını taramalardan hariç tutmak için değiştirir.

Şüpheli alan notundan ikinci bir senaryo olan S2.bat’ı indirir[.]SU, keşif sırasında minimal antivirüs tespiti olan yeni kayıtlı bir site ve PowerShell aracılığıyla kullanıcıdan gizlenmiş olarak yürütür.

S2.BAT ayrıca, kötü amaçlı yazılımları kaldırabilecek sistem yamalarını önlemek için güncelleme ile ilgili planlanan görevlerin yanı sıra WUauserv (Windows Update Service), BITS ve TrustedenStaller gibi kritik Windows hizmetlerini devre dışı bırakarak dayanağını sağlamlaştırır.

Çok aşamalı bir saldırı zinciri

Daha sonra notiften kötü niyetli bir Xmrig madenci (miner.exe) indirir[.]SU, kendini HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ DJKONTAH kapsamında bir kayıt defteri girişi dahil ve ayrıcalık artışı için meşru bir Winring0 sürücüsü bırakan SU.

Özellikle, senaryolar, büyük dil modelleri (LLM’ler) veya deneyimsiz “senaryo çocukları” tarafından oluşturulmayı öneren düz metin yorumları içeren gizlemeden yoksundur, ancak basitlikleri, ilk keşif sırasında Virustotal gibi platformlarda düşük algılama oranları ile etkili olmuştur.

Açık kaynaklı zeka, etki alanı notifini gösterir[.]SU, Nisan ortasında 2025’te sona eren kötü amaçlı yazılım dosyalarına yapılan güncellemelerden haftalar sonra kaldırıldı.

Bu XMRIG varyantı, anlaşılmamış davranışlara sahip temel kötü amaçlı yazılımların bile Lolbas taktikleri aracılığıyla savunmaları nasıl atlayabileceğini gösterir.

G verilerinin genişletilmiş algılama ve yanıtı (XDR) gibi çözümler, bu tür faaliyetleri davranışsal analize dayalı olarak tespit edebilir ve kritik koruma sağlar.

Kullanıcılar, notif gibi alanlara şüpheli ağ trafiği gibi enfeksiyon belirtileri için uyanık kalmalıdır[.]SU veya sistem dizinlerinde beklenmedik dosyalar.

Uzlaşma Göstergeleri (IOCS)

Dosya/Etki Alanı Sha256 karma Tespit Adı
1. CMD A5768c151a42d8a2b78f72d23ae7e6c2d6a458edd5f0a4649cc630614763b0 Script.trojan-downloader.agent.bsd
S2.bat 3acf8d410f30186a800d5e8c3b0b0b0b0b0b0b0b0b0b061a6faf7c0939b129d230de42e9034ce6c3 Script.trojan.coinminer.ef
Miner.exe f4386aaa87c92d5d7db28d808ad6471b1c4deb95d82a9e6cfe8421196c5610b Win64.trojan-dropper.coinminer.857jr9
Dikkat çeken şey[.]var olan N/A N/A

Günlük Siber Güvenlik Haberleri’nde güncel olun. Bizi takip edin Google News, LinkedIn ve X’te.



Source link