Campanha de XMRig usa BYOVD, propagação por mídia removível e bomba lógica temporal

Minerador empacotado em software pirata combina sideloading, persistência, escalonamento via driver vulnerável e rotina de autodesativação baseada na data local do sistema.

Componente	Dropper modular que entrega um minerador XMRig personalizado, DLL de mineração, serviço legítimo de telemetria do Windows e o driver vulnerável `WinRing0x64.sys`.
Vetor	Engenharia social com pacotes de software pirata, incluindo instaladores falsos de suítes de produtividade, seguida de execução local pelo usuário.
Impacto	Mineração não autorizada de criptomoeda, persistência, encerramento de ferramentas de segurança, escalonamento de privilégio via `CVE-2020-14979` e propagação por mídia removível.
Prioridade	Bloquear execução de instaladores não confiáveis, procurar `WinRing0x64.sys`, revisar persistências criadas pelo dropper e isolar hosts com sinais de mineração ou cópia para armazenamento externo.
Artefatos	Modos internos associados a ausência de parâmetro, `002 Re:0` e `barusu`, usados para instalação inicial, execução monitorada e autodesativação.
Mitigação	Restringir drivers vulneráveis, endurecer controle de aplicativos, monitorar sideloading de DLL, bloquear mídia removível não autorizada e validar consumo anômalo de CPU.

Resumo técnico

Uma campanha de cryptojacking distribui um minerador XMRig personalizado por meio de pacotes de software pirata. O ponto de entrada depende de engenharia social: o usuário é induzido a baixar executáveis apresentados como versões gratuitas de aplicativos premium, incluindo instaladores associados a suítes de produtividade. Após a execução, o binário não funciona apenas como instalador. Ele coordena a infecção como dropper, watchdog, gerenciador de payloads e mecanismo de limpeza, separando funções de monitoramento das rotinas de mineração, persistência e elevação de privilégio.

A operação se destaca pela combinação de técnicas normalmente vistas em cadeias mais intrusivas: sideloading de DLL com um executável legítimo de telemetria do Windows, uso de driver vulnerável em abordagem BYOVD, propagação por mídia removível e bomba lógica baseada no relógio local. O objetivo técnico é manter mineração de criptomoeda com maior taxa de processamento, mesmo que isso cause instabilidade no sistema comprometido. A atividade de mineração foi observada de forma esporádica em novembro de 2025 e teve aumento em 8 de dezembro de 2025.

Fluxo técnico

Depois da execução inicial, o binário grava componentes no disco e inicia uma rotina padrão de infecção. Entre os arquivos entregues estão um executável legítimo de serviço de telemetria do Windows, usado para carregar lateralmente a DLL do minerador, módulos de persistência, componentes voltados a encerrar ferramentas de segurança e o driver WinRing0x64.sys. Esse driver é legítimo, mas vulnerável, e foi incorporado à cadeia para permitir execução com privilégios mais altos e manipulação de configurações de baixo nível da CPU.

A vulnerabilidade explorada no driver é CVE-2020-14979, descrita no contexto como uma falha de escalonamento de privilégio com pontuação CVSS 7.8. Na campanha, o uso do driver não aparece como etapa genérica de tomada de controle do host, mas como mecanismo para ampliar a eficiência do XMRig. O ajuste de parâmetros de CPU associados ao algoritmo RandomX teria como finalidade aumentar o hashrate em aproximadamente 15% a 50%, mantendo o foco econômico da operação em mineração não autorizada.

O malware também implementa alternância de modo por argumentos de linha de comando. A ausência de parâmetro é associada à validação de ambiente e migração durante a instalação inicial. O modo 002 Re:0 é associado à queda dos payloads principais, início do minerador e entrada em loop de monitoramento. O modo barusu aciona uma sequência de autodestruição, com encerramento de componentes e remoção de arquivos da infecção. Esses artefatos devem ser tratados como identificadores de comportamento, não como instruções operacionais.

A bomba lógica consulta a hora local do sistema e compara o valor com uma data pré-definida: 23 de dezembro de 2025. Antes desse marco, a infecção prossegue com instalação de persistência e execução do minerador. Depois dessa data, o binário passa a ser iniciado no modo de desativação controlada. O prazo pode indicar expiração planejada de infraestrutura de comando e controle, mudança prevista na operação ou preparação para outra variante, mas o contexto não permite confirmar qual dessas hipóteses é a causa real.

Superfície afetada

A superfície de risco começa em estáções Windows onde usuários têm liberdade para baixar e executar instaladores de origem não verificada. Ambientes com tolerância a software pirata, ausência de controle de aplicativos e permissões locais amplas ficam mais expostos, porque a cadeia depende da execução inicial do pacote contaminado e depois tenta sustentar a mineração com persistência e escalonamento. A presença de ferramentas de segurança sem proteção contra encerramento por processos locais também aumenta a chance de permanência.

A capacidade de propagação por mídia removível amplia o alcance além do host inicial. O malware tenta se copiar para dispositivos externos, transformando a infecção de um trojan de mineração em um comportamento semelhante a worm. Esse detalhe é relevante para ambientes segmentados ou parcialmente isolados, porque armazenamento USB e outros dispositivos removíveis podem transportar artefatos entre máquinas sem depender de conectividade direta. O contexto não confirma exploração remota autônoma pela rede, portanto o risco deve ser entendido como propagação por mídia e execução subsequente.

Estáções Windows usadas para baixar instaladores piratas ou executáveis de origem não confiável.
Hosts onde WinRing0x64.sys pode ser carregado ou onde políticas de bloqueio de drivers vulneráveis não estão aplicadas.
Ambientes que permitem mídia removível sem inspeção, bloqueio, inventário ou correlação de cópias suspeitas.
Sistemas com consumo de CPU elevado, instabilidade operacional e processos associados a mineração XMRig.

Hunting e telemetria

A investigação deve combinar sinais de endpoint, execução de processos, criação de arquivos, carregamento de driver e comportamento de mineração. A presença de WinRing0x64.sys em caminhos incomuns, especialmente próxima de componentes recém-gravados por um instalador suspeito, é um sinal de alta prioridade. Também é relevante procurar execução de binários que se passam por instaladores de software premium, criação de persistências logo após a execução e tentativas de encerrar ferramentas de segurança.

No endpoint, o sideloading envolvendo serviço legítimo de telemetria do Windows deve ser analisado com atenção. O uso de um executável confiável para carregar uma DLL de mineração desloca a detecção para relações de processo, caminho de DLL, assinatura, origem do arquivo e sequência temporal. A defesa deve correlacionar a criação do executável, a queda da DLL, a ativação de persistência e o início de consumo sustentado de CPU. Picos de processamento sem carga legítima correspondente, instabilidade recorrente e atividade de rede relacionada a pools de mineração são sinais complementares.

A propagação por mídia removível exige telemetria de montagem de volumes, cópia de executáveis para dispositivos externos e execução posterior a partir desses volumes. Em ambientes com EDR, a busca deve priorizar eventos em que um processo recém-chegado por download grava arquivos em unidades removíveis ou replica componentes com nomes que imitam instaladores. Em redes com estáções desconectadas, a linha do tempo de uso de mídia externa pode ser a principal evidência para reconstruir o movimento entre hosts.

Carregamento ou tentativa de carregamento de WinRing0x64.sys fora de uso administrativo conhecido.
Execução de instaladores piratas seguida de gravação de múltiplos componentes, criação de persistência e início de mineração.
Processos com uso alto e contínuo de CPU vinculados a bibliotecas ou binários recém-criados.
Tentativas de finalizar produtos de segurança ou serviços de proteção no mesmo intervalo da instalação.
Cópia de executáveis ou payloads para unidades removíveis após a infecção inicial.

Mitigação

A resposta deve começar pelo isolamento dos hosts com sinais de mineração, porque a cadeia combina persistência, watchdog e cópia para mídia removível. Em seguida, é necessário coletar artefatos de execução, drivers carregados, chaves ou tarefas de persistência, histórico de mídia externa e relações de processo envolvendo o executável de telemetria usado no sideloading. A remoção manual isolada do minerador pode ser insuficiente se os módulos de monitoramento ou persistência continuarem ativos.

A contenção preventiva depende de controles já conhecidos, mas que precisam ser aplicados com consistência: bloqueio de software não autorizado, restrição de execução em diretórios de usuário e downloads, política de drivers vulneráveis, inspeção de mídia removível e proteção contra encerramento de agentes de segurança. Para o caso específico, a prioridade é impedir o carregamento de WinRing0x64.sys quando não houver necessidade operacional legítima e revisar qualquer exceção que permita BYOVD.

Após a contenção, equipes de segurança devem validar se houve nova criação de persistência, se dispositivos removíveis conectados aos hosts afetados carregam cópias do malware e se outros sistemas executaram arquivos originados desses dispositivos. Como o contexto não descreve roubo de dados, vazamento ou movimentação lateral por credenciais, a investigação não deve assumir esses impactos sem evidência. O escopo principal confirmado é mineração, elevação de privilégio para otimização de desempenho, evasão por encerramento de ferramentas e propagação por armazenamento externo.

Isolar máquinas com XMRig, consumo anômalo de CPU, sideloading suspeito ou carregamento de driver vulnerável.
Bloquear WinRing0x64.sys e revisar políticas de bloqueio de drivers vulneráveis em endpoints Windows.
Remover persistências criadas no período da execução inicial e confirmar que watchdogs associados não continuam ativos.
Inventariar e inspecionar mídias removíveis conectadas a hosts afetados antes de reutilizá-las.
Aplicar controle de aplicativos para impedir instaladores piratas e executáveis não confiáveis em áreas de usuário.

Campanha de XMRig usa BYOVD, propagação por mídia removível e bomba lógica temporal

Postar um comentário

0 Comentários

Mais lidas da semana

Boletim semanal reúne violações, phishing, vulnerabilidades exploradas e campanhas contra telecom

Recapitulação técnica reúne falhas em Linux, Defender, Drupal, roteadores e cadeia de suprimentos

npm adiciona publicação com 2FA e controles de instalação contra ataques à cadeia de software

Boletim semanal reúne vazamentos, ransomware, falhas críticas e abuso de IA em campanhas de phishing

Grafana expõe código-fonte após comprometimento de token em ataque ao ecossistema npm

Plantão de ameaças

Receba alertas

Comunidade

Assuntos

Menu Footer Widget

Contato

Campanha de XMRig usa BYOVD, propagação por mídia removível e bomba lógica temporal

Talvez você goste destas postagens

Postar um comentário

0 Comentários

Siga o Cyber Guardian News

Mais lidas da semana

Boletim semanal reúne violações, phishing, vulnerabilidades exploradas e campanhas contra telecom

Recapitulação técnica reúne falhas em Linux, Defender, Drupal, roteadores e cadeia de suprimentos

npm adiciona publicação com 2FA e controles de instalação contra ataques à cadeia de software

Boletim semanal reúne vazamentos, ransomware, falhas críticas e abuso de IA em campanhas de phishing

Grafana expõe código-fonte após comprometimento de token em ataque ao ecossistema npm

Plantão de ameaças

Receba alertas

Briefing global de ameaças

Comunidade

Assuntos

Menu Footer Widget

Contato