Волна Monero-майнинга возвращается: как киберпреступники используют уязвимости и обновленные инструменты

Аналитики обнаружили, что новейшие версии вредоносного ПО на базе XMRig используют многоэтапную атаку с применением техник LOLBAS (Living Off the Land Binaries and Scripts), которые позволяют злоумышленникам скрываться, используя стандартные инструменты Windows, такие как PowerShell. В отличие от предыдущих версий, новый XMRig-малвар уменьшился в размерах до 1 МБ, сосредоточившись исключительно на криптомайнинге. При этом скрипты, используемые для его распространения, написаны открытым текстом, без обфускации, что может указывать на использование генеративных ИИ или работу так называемых «скрипт-кидди».

Атака начинается с исполнения файла 1.cmd, который проверяет наличие маркерного файла (check.txt), отключает защиту Windows Defender и загружает следующий этап вредоноса - S2.bat - с сервера notif[.]su. После этого создается задача в планировщике Windows для автоматического запуска вредоносного кода при каждой загрузке системы.

Второй этап атаки (S2.bat) направлен на обеспечение устойчивости вредоноса в системе. Сценарий отключает службы Windows Update, включая Wuauserv, BITS и UsoSvc, а также блокирует выполнение связанных задач через планировщик. Затем происходит загрузка XMRig-майнера, который маскируется под легитимный клиент сервиса Nanopool. В зависимости от географического расположения жертвы выбирается соответствующий исполняемый файл (например, eu1.exe для Европы или us1.exe для США).

На завершающем этапе майнер сохраняет копию себя в папке %AppData% под случайным именем, добавляет автозагрузку через реестр (HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\DJKONTAH) и устанавливает драйвер WinRing0, позволяющий ему выполнять привилегированные операции, такие как чтение и запись в память. Все экземпляры XMRig, загружаемые с notif[.]su, ведут себя идентично, различаясь лишь временными метками и ключами деобфускации.

Хотя домен notif[.]su был заблокирован в конце апреля, подобные атаки демонстрируют, что даже примитивные, но эффективные техники могут обходить защитные системы. В частности, антивирусные решения на момент обнаружения почти не реагировали на данный вредонос, что позволило ему заражать устройства в России, Бельгии, Греции и Китае.

Пользователям стоит обращать внимание на подозрительные процессы, необычно высокую нагрузку на процессор, а также проверять наличие в системе файлов dvrctxctzmmr.exe, djhtniluoblq.sys и check.txt. Решения на базе XDR (Extended Detection and Response), такие как G DATA, способны выявлять подобные угрозы на основе анализа поведения, что делает их эффективным инструментом защиты.

Возрождение Monero-майнинга показывает, что киберпреступники продолжают адаптироваться, используя как старые, так и новые методы атак. В условиях роста криптовалютного рынка подобные угрозы будут только множиться, требуя от компаний и частных пользователей повышенной бдительности и современных средств защиты.

Domains

• notif.su

SHA256

• 3acf8d410f30186a800d5e8c3b0b061a6faf7c0939b129d230de42e9034ce6c3
• a57688c151a42d8a2b78f72d23ae7e6c2d6a458edd50f0a4649cc630614763b0
• f4386aaa87c922d5d7db28d808ad6471b1c4deb95d82a9e6cfe8421196c5610b