XMRig Coin Miner: Adversários Empregam Novas Abordagens para Mineração Ilegal de Criptomoedas

Com um número crescente de operações cibercriminosas visando a instalação ilícita de software de mineração de criptomoedas em dispositivos e sistemas das vítimas, aumentar a conscientização sobre o criptojacking é essencial. No início deste verão, o US-CERT divulgou um relatório de análise de malware relacionado ao minerador de moedas XMRig, detalhando novas abordagens para sequestrar dispositivos das vítimas e utilizá-los para mineração de criptomoedas.

A CISA destacou os droppers de mineração de criptomoedas usados para implantar XMRig de forma não solicitada.

Detecção de Malware Cryptominer XMRig

Utilize o seguinte kit de regras lançado por nossos desenvolvedores atentos do Threat Bounty Nattatorn Chuensangarun and Onur Atali para detectar atividades não solicitadas associadas ao malware de mineração de criptomoeda XMRig no seu ambiente:

Identifique a presença do Minerador de Moedas XMRig

Especialistas em cibersegurança aproveitam o Programa Threat Bounty para alcançar novos horizontes de carreira. Junte-se ao Threat Bounty para compartilhar nossa dedicação em cooperar na obtenção de altos padrões de processos de cibersegurança.

As detecções estão disponíveis para mais de 26 plataformas SIEM, EDR & XDR, alinhadas com o MITRE ATT&CK® framework v.10. Para mais conteúdo de detecção, por favor, pressione o Botão Detectar & Caçar abaixo. Se você é novo na plataforma, navegue por uma vasta coleção de regras Sigma com contexto de ameaças relevante, CTI e referências do MITRE ATT&CK, descrições de CVE e receba atualizações sobre tendências de caça a ameaças clicando no Botão Explorar Contexto de Ameaça Nenhum registro é necessário!

Botão Detectar & Caçar Botão Explorar Contexto de Ameaça

Descrição da Campanha Baseada em XMRig

O XMRig CPU Miner é uma ferramenta de mineração de criptomoeda popular. Mas o software não é popular apenas para operações legítimas. Os adversários frequentemente utilizam o XMRig para mineração de criptomoedas em computadores comprometidos. Ataques de criptojacking são frequentemente realizados usando um trojan.

Uma Ferramenta de Acesso Remoto (RAT) recentemente pesquisada, utilizada como um dropper de mineração de criptomoedas, fornece aos atores de ameaças uma vasta gama de capacidades de C2, lê-se na análise publicada pela CISA. A cepa é um carregador do Windows de 64 bits que contém um executável malicioso criptografado. Uma vez que os atacantes alcançam persistência dentro de uma rede comprometida, eles prosseguem com seu objetivo principal, que é executar o XMRig CoinMiner. Além disso, os operadores de malware finalizam tarefas de antivírus, obtêm acesso de shell reverso e se movem lateralmente através de uma rede.

Adversários rapidamente adotam falhas divulgadas recentemente em suas atividades ilícitas de mineração de criptomoeda. Para evitar impactos indesejáveis, mantenha-se atualizado sobre a caça a ameaças com soluções escaláveis fornecidas pela plataforma Detection as Code da SOC Prime.