海賊版ソフトウェアインストーラーを通じて拡散する新たなクリプトジャッキング キャンペーンが研究者によって発見され、永続性、ステルス性、暗号資産マイニング出力の最大化を目的とした多段階感染チェーンが明らかになった。
セキュリティ企業Trellixが発見したこの活動は、カスタマイズされたXMRigマイナーとカスタマイズされたコントローラーコンポーネント、感染したシステムへの長期的なアクセスを維持するコンポーネントを中心としている。
初期のブラウザベースのクリプトジャッキング詐欺とは異なり、このキャンペーンはシステムレベルのマルウェアを展開している。オフィス生産性ソフトウェアに偽装した詐欺的なインストーラーに依存し、無料のプレミアムアプリケーションでユーザーを誘っている。
実行されると、ドロッパーはユーザーディレクトリにExplorer.exeという名前のプライマリコントローラーをインストールし、マイニングおよび永続化コンポーネントのステージ展開を開始した。
モジュール設計が耐性を強化
コントローラーは単純なローダーではなく、状態駆動型オーケストレーターとして機能した。コマンドラインの引数に応じて、コンポーネントをインストール、監視、再起動、または削除することができた。
Trellixはコード内に埋め込まれたアニメ「Re:ゼロから始める異世界生活」への参照を発見した。これには、メイン感染モードを活性化する「002 Re:0」パラメーターと、構造化されたクリーンアップルーチンを引き起こす「barusu」引数が含まれていた。
クリプトジャッキング脅威についてさらに詳しく:新しいクリプトジャッキング マルウェアが独新しい採掘技術でDockerをターゲット
2025年12月23日のハードコードされた有効期限日は、時間ベースのキルスイッチとして機能した。その日付までマルウェアは正常に動作し、その後は自己削除手順を開始し、有限のキャンペーン ライフサイクルを示唆していた。
永続性を維持するために、マルウェアは偽のMicrosoft EdgeおよびWPS実行可能ファイルを含む、正当なソフトウェアに偽装した複数のウォッチドッグプロセスを展開した。
1つのコンポーネントが終了させられると、別のコンポーネントが数秒以内にそれを再起動させた。場合によっては、マルウェアは正当なWindows Explorerシェルを終了させようとして、ユーザーアクティビティを中断し、制御を取り戻そうとした。
カーネルエクスプロイトがハッシュレートを向上
注目すべき機能は、CVE-2020-14979に関連する脆弱性のあるドライバーであるWinRing0x64.sysの使用であった。
このドライバーをロードすることで、攻撃者はカーネルレベルのアクセスを取得し、CPUレジスタを変更してハードウェアプリフェッチャーを無効にした。この最適化により、Monero RandomXマイニングパフォーマンスが15~50%向上したと報告されている。
キャンペーンはxmr-sg.kryptex.network:8029のKryptexマイニングプールに接続し、支払いにMoneroウォレットを使用していた。分析時点では、研究者は約1.24 KH/sを生成する1つのアクティブなワーカーを観察し、2025年12月8日からマイニングアクティビティが増加していた。
「このキャンペーンは、コモディティマルウェアが引き続き革新していることを力強く思い出させるものである」とTrellix警告している。
「既知の脆弱性を持つレガシードライバーが有効に署名され、ロード可能なままである限り、攻撃者はそれらを王国への鍵として使用し続け、Ring 3の洗練された保護を迂回してカーネル内で不正アクセスで動作するだろう。」
同社は、組織に対してMicrosoftの脆弱なドライバーブロックリストを有効にし、USBデバイスアクセスを制限し、既知のマイニングプールへのアウトバウンドトラフィックをブロックするよう勧告した。
翻訳元: https://www.infosecurity-magazine.com/news/cryptojacking-driver-boost-monero/
