Carder.life

Carder.life (http://txgate.io:443/index.php)
-   Новости мирового кардинга (http://txgate.io:443/forumdisplay.php?f=18)
-   -   Зловредный XMRig блочит Windows Update и повышает права с помощью WinRing0 (http://txgate.io:443/showthread.php?t=51301834)

Artifact 07-16-2025 08:55 AM
<div id="post_message_802281">

Специалисты G DATA проанализировали новый вредоносный вариант майнера XMRig, объявившийся минувшей весной на фоне роста курса монеро. Заражения были обнаружены в Китае, Бельгии, Греции и России.<br/>
<br/>
Обновленный зловред <a href="https://www.gdatasoftware.com/blog/2025/07/38228-monero-malware-xmrig-resurgence" target="_blank">проникает </a>на Windows-машины поэтапно, используя предустановленные в системе скрипты и бинарники (<a href="https://www.anti-malware.ru/news/2023-08-04-111332/41690" target="_blank">LOLBAS</a>) для запуска полезной нагрузки, закрепления и ухода от обнаружения.<br/>
<br/>
Определить первичный вектор заражения аналитикам не удалось. Вредоносную цепочку запускает svchost.exe, порождающий cmd-процесс для выполнения пакетного скрипта, именуемого 1.cmd.<br/>
<br/>
Этот сценарий проверяет наличие контрольного файла check.txt в папке %APPDATA%\Temp во избежание повторного заражения, изменяет настройки Microsoft Defender, чтобы исключить сканирование корня пути C:\, а затем загружает другой скрипт, S2.bat, из домена notif[.]su и скрытно запускает его на исполнение с помощью PowerShell.<br/>
<br/>
Сценарий S2.bat прежде всего отключает Windows-сервисы, способные помешать дальнейшему развертыванию зловреда (службы обновлений, BITS, TrustedInstaller). Он также загружает с того же сайта XMRig (miner.exe), который при установке создает новый ключ реестра на быстрый запуск и дропает <a href="https://www.anti-malware.ru/news/2024-05-23-114534/43418" target="_blank">легитимный драйвер</a> WinRing0 для <a href="https://www.anti-malware.ru/news/2024-11-20-121598/44654" target="_blank">повышения прав в системе</a>.<br/>
<br/>
Как оказалось, все задействованные в атаке скрипты не обфусцированы. Обнаруженные в кодах комментарии свидетельствуют о том, что их создал ИИ-кодер либо неумелый вирусописатель; несмотря на это, на момент обнаружения все файлы плохо детектились на VirusTotal.<br/>
<br/>
По данным G DATA, к маю поток обновлений для зловреда-криптоджекера иссяк. Спустя пару недель используемый им сайт notif[.]su был заблокирован.<br/>
<br/>
<img alt="" border="0" class="bbCodeImage" src="https://dl3.joxi.net/drive/2025/07/10/0048/3474/3202450/50/78649a5e8b.jpg"/><br/>
<br/>
<a href="https://www.anti-malware.ru/news/2025-07-09-114534/46606" target="_blank">@ Anti-Malware </a>
</div>


All times are GMT. The time now is 02:52 PM.

Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2025, vBulletin Solutions, Inc.