XMRig Cryptojacking-Kampagne
Umfangreiche Untersuchungen haben eine ausgeklügelte Kryptojacking-Kampagne aufgedeckt, die Raubkopien von Softwarepaketen nutzt, um Systeme mit einem speziell angepassten XMRig-Miner zu infizieren. Die Operation setzt stark auf Social Engineering und wirbt mit kostenlosen Premium-Anwendungen, wie beispielsweise gecrackten Office-Suiten, um Nutzer zum Herunterladen von Trojaner-verschlüsselten Installationsdateien zu verleiten.
Diese schädlichen ausführbaren Dateien dienen als primärer Einfallstor. Nach ihrer Ausführung starten sie einen sorgfältig orchestrierten Infektionsprozess, der darauf abzielt, die Ausbeute des Kryptowährungs-Minings zu maximieren, häufig auf Kosten der Systemstabilität. Die Verwendung irreführender Verbreitungstaktiken unterstreicht die anhaltende Wirksamkeit von Softwarepiraterie als Kanal zur Malware-Verbreitung.
Inhaltsverzeichnis
Eine modulare Infektions-Engine mit mehreren Betriebsmodi
Kernstück des Angriffs ist eine multifunktionale Binärdatei, die als Kommandozentrale des Infektionszyklus fungiert. Sie dient als Installationsprogramm, Überwachungstool, Payload-Manager und Bereinigungstool und überwacht die Bereitstellung, Persistenz, Überwachung und gegebenenfalls die Selbstentfernung.
Die modulare Architektur der Malware trennt Überwachungsfunktionen von den Kernfunktionen, die für Datengewinnung, Rechteausweitung und Persistenz verantwortlich sind. Operative Flexibilität wird durch spezifische Befehlszeilenargumente erreicht, die unterschiedliche Ausführungsmodi ermöglichen:
Kein Parameter : Führt eine Umgebungsvalidierung durch und kümmert sich um die Installation und Migration in der Frühphase.
002 Re:0 : Lässt die primären Nutzdaten fallen, startet den Miner und tritt in eine Überwachungsschleife ein.
016 : Startet den Miner neu, falls er beendet wurde.
barusu : Leitet eine Selbstzerstörungssequenz ein, wodurch Malware-Komponenten beendet und zugehörige Dateien entfernt werden.
Dieser strukturierte Ansatz zum Umschalten der Betriebsmodi erhöht die Widerstandsfähigkeit und gewährleistet eine kontinuierliche Minentätigkeit auch dann, wenn defensive Maßnahmen ergriffen werden.
Eingebettete Logikbombe und zeitgesteuerte Stilllegung
Ein auffälliges Merkmal der Schadsoftware ist das Vorhandensein einer Logikbombe. Die Binärdatei ermittelt die lokale Systemzeit und vergleicht sie mit einem fest codierten Stichtag, dem 23. Dezember 2025.
- Wird die Malware vor dem 23. Dezember 2025 ausgeführt, erfolgt die Installation der Persistenzsoftware und der Einsatz des Miners.
- Wird es nach diesem Datum ausgeführt, startet es sich automatisch mit dem Parameter 'barusu' neu und löst so einen kontrollierten Selbstdeaktivierungsprozess aus.
Der vordefinierte Stichtag deutet darauf hin, dass die Kampagne bis zu diesem Datum kontinuierlich laufen sollte. Die Frist könnte mit dem Auslaufen der gemieteten Kommando- und Kontrollinfrastruktur, erwarteten Veränderungen auf dem Kryptowährungsmarkt oder einem strategischen Übergang zu einer Nachfolgevariante der Schadsoftware zusammenhängen.
Privilegienerweiterung und Mining-Optimierung über BYOVD
Bei einem typischen Infektionsvorgang schreibt die Binärdatei, die als eigenständiger Träger fungiert, alle notwendigen Komponenten auf die Festplatte. Dazu gehört auch eine legitime ausführbare Datei des Windows-Telemetriedienstes, die missbraucht wird, um die schädliche Miner-DLL zu laden.
Zusätzlich werden Persistenzmechanismen und Komponenten zur Deaktivierung von Sicherheitstools eingesetzt. Um erhöhte Ausführungsrechte zu gewährleisten, verwendet die Malware die BYOVD-Technik (Bring Your Own Vulnerable Driver) mit dem fehlerhaften Treiber „WinRing0x64.sys“. Dieser Treiber ist von CVE-2020-14979 betroffen, einer Schwachstelle mit einem CVSS-Wert von 7,8, die eine Rechteausweitung ermöglicht.
Durch die direkte Integration dieser Sicherheitslücke in den angepassten XMRig-Miner erlangen die Angreifer tiefgreifende Kontrolle über die CPU-Konfigurationen. Diese Optimierung steigert die Mining-Leistung von RandomX um etwa 15 % bis 50 % und verbessert so die Rentabilität deutlich.
Wurmartige Vermehrung und seitliche Bewegung
Im Gegensatz zu herkömmlichen Trojanern, die ausschließlich auf die erstmalige Ausführung durch einen Benutzer angewiesen sind, verfügt diese XMRig-Variante über aggressive Verbreitungsmechanismen. Sie verbreitet sich aktiv über Wechseldatenträger und ermöglicht so die laterale Ausbreitung über verschiedene Systeme hinweg, auch in abgeschotteten Umgebungen.
Diese wurmartige Fähigkeit verwandelt die Malware in eine sich selbst verbreitende Bedrohung, wodurch ihre Reichweite innerhalb von Organisationsnetzwerken erheblich vergrößert und der Umfang des Botnetzes gesteigert wird.
Operativer Zeitplan und strategische Implikationen
Forensische Beweise deuten auf unregelmäßige Bergbauaktivitäten im gesamten November 2025 hin, gefolgt von einem deutlichen Anstieg ab dem 8. Dezember 2025. Dieses Muster lässt auf eine stufenweise Bereitstellung oder Aktivierungsstrategie schließen, die darauf abzielt, eine frühzeitige Entdeckung zu vermeiden.
Die Kampagne unterstreicht die ständige Weiterentwicklung von Massensoftware. Durch die Kombination von Social Engineering, dem Vortäuschen legitimer Software, wurmartiger Verbreitung und Ausnutzung von Kernel-Schwachstellen haben die Angreifer ein robustes und leistungsstarkes Kryptojacking-Botnetz entwickelt, das nachhaltiges und optimiertes Krypto-Mining ermöglicht.
