Οι εγκληματίες του κυβερνοχώρου διαδίδουν ενεργά κακόβουλο λογισμικό CoinMiner μέσω μονάδων USB, στοχεύοντας σταθμούς εργασίας σε όλη τη Νότια Κορέα για την εξόρυξη κρυπτονομισμάτων Monero.
Αυτή η συνεχιζόμενη καμπάνια χρησιμοποιεί παραπλανητικά αρχεία συντομεύσεων και κρυφούς φακέλους για να εξαπατήσει τους χρήστες να εκτελέσουν κακόβουλα σενάρια χωρίς να το γνωρίζουν.
Η επίθεση αξιοποιεί έναν συνδυασμό αρχείων VBS, BAT και DLL που συνεργάζονται για την εγκατάσταση του XMRig, ενός δημοφιλούς εργαλείου εξόρυξης κρυπτονομισμάτων, σε μολυσμένα συστήματα.
Το κακόβουλο λογισμικό κρύβεται μέσα σε έναν φάκελο που ονομάζεται “sysvolume” σε μολυσμένες μονάδες USB, εμφανίζοντας μόνο ένα αρχείο συντόμευσης με την ένδειξη “USB Drive.lnk” στον χρήστη.
Όταν τα θύματα κάνουν διπλό κλικ σε αυτό το αρχείο, ενεργοποιεί μια αλυσίδα κακόβουλων λειτουργιών ενώ ταυτόχρονα ανοίγει έναν φάκελο που περιέχει τα αρχικά τους αρχεία.
.webp.jpeg "Απειλές ηθοποιοί που αναπτύσσουν κακόβουλο λογισμικό CoinMiner μέσω μονάδων USB που μολύνουν σταθμούς εργασίας")
Αυτό επιτρέπει στους χρήστες να έχουν κανονική πρόσβαση στα δεδομένα τους, καθιστώντας δύσκολη την ανίχνευση της μόλυνσης. Ερευνητές ασφαλείας ASEC αναγνωρισθείς αυτό το στέλεχος κακόβουλου λογισμικού στη συνεχιζόμενη ανάλυση των απειλών που βασίζονται σε USB.
Οι επιτιθέμενοι έχουν βελτιώσει τις τεχνικές τους από προηγούμενες εκδόσεις που τεκμηριώθηκαν τον Φεβρουάριο του 2025, με τη Mandiant να κατηγοριοποιεί αυτές τις απειλές ως DIRTYBULK και CUTFAIL στην έκθεσή τους τον Ιούλιο του 2025.
Η μόλυνση ξεκινά όταν οι χρήστες εκτελούν το παραπλανητικό αρχείο συντόμευσης, το οποίο εκτελεί μια δέσμη ενεργειών VBS με ένα όνομα αρχείου που δημιουργείται τυχαία, όπως “u566387.vbs”.
Στη συνέχεια, αυτό το σενάριο ενεργοποιεί κακόβουλο λογισμικό BAT που εκτελεί πολλές κρίσιμες λειτουργίες, συμπεριλαμβανομένης της προσθήκης διαδρομών εξαίρεσης του Windows Defender και της δημιουργίας ενός φακέλου με ένα κενό στο όνομά του στο “C:\Windows \System32\” για να αποφύγει τον εντοπισμό.
.webp.jpeg "Απειλές ηθοποιοί που αναπτύσσουν κακόβουλο λογισμικό CoinMiner μέσω μονάδων USB που μολύνουν σταθμούς εργασίας")
Το σενάριο BAT αντιγράφει και μετονομάζει το κακόβουλο λογισμικό dropper σε “printui.dll” και το φορτώνει μέσω του νόμιμου προγράμματος “printui.exe”.
Μηχανισμός μόλυνσης και τακτικές επιμονής
Το στοιχείο dropper καθορίζει την επιμονή καταχωρώντας ένα DLL στην υπηρεσία DcomLaunch.
.webp.jpeg "Απειλές ηθοποιοί που αναπτύσσουν κακόβουλο λογισμικό CoinMiner μέσω μονάδων USB που μολύνουν σταθμούς εργασίας")
Μόλις εγγραφεί, το κακόβουλο λογισμικό που ορίζεται ως PrintMiner προσαρμόζει τις ρυθμίσεις ισχύος του συστήματος για να αποτρέψει την κατάσταση αναστολής λειτουργίας και επικοινωνεί με διακομιστές εντολών και ελέγχου για λήψη κρυπτογραφημένων ωφέλιμων φορτίων.
Τα αποκρυπτογραφημένα αρχεία περιλαμβάνουν XMRig που έχει ρυθμιστεί για εξόρυξη Monero χρησιμοποιώντας τις ακόλουθες παραμέτρους:
-o r2.hashpoolpx[.]net:443 --tls --max-cpu-usage=50Το κακόβουλο λογισμικό παρακολουθεί τις διεργασίες που εκτελούνται και τερματίζει το XMRig όταν οι χρήστες ξεκινούν παιχνίδια ή εργαλεία παρακολούθησης διεργασιών όπως το Process Explorer, το Task Manager και το System Informer.
.webp.jpeg "Απειλές ηθοποιοί που αναπτύσσουν κακόβουλο λογισμικό CoinMiner μέσω μονάδων USB που μολύνουν σταθμούς εργασίας")
Αυτή η τεχνική αποφυγής βοηθά τον εξορύκτη να αποφύγει τον εντοπισμό, ενώ μειώνει τις επιπτώσεις στην απόδοση που μπορεί να ειδοποιήσουν τους χρήστες. Οι επιθέσεις που βασίζονται σε USB παραμένουν αποτελεσματικές όταν συνδυάζονται με κοινωνική μηχανική.
