Campagne de cryptojacking XMRig
Des investigations approfondies ont mis au jour une campagne sophistiquée de cryptojacking qui exploite des logiciels piratés pour infecter des systèmes avec un mineur XMRig personnalisé. L'opération repose largement sur l'ingénierie sociale, en proposant des applications premium gratuites, telles que des suites bureautiques piratées, afin d'inciter les utilisateurs à télécharger des installateurs piégés.
Ces fichiers exécutables malveillants constituent le principal point d'entrée. Une fois lancés, ils initient un processus d'infection soigneusement orchestré, conçu pour maximiser la production de cryptomonnaie, souvent au détriment de la stabilité du système. Le recours à des tactiques de distribution trompeuses souligne l'efficacité persistante du piratage de logiciels comme vecteur de propagation de logiciels malveillants.
Table des matières
Un moteur d’infection modulaire à modes de fonctionnement multiples
Au cœur de l'attaque se trouve un binaire multifonctionnel qui centralise le cycle de vie de l'infection. Agissant comme programme d'installation, système de surveillance, gestionnaire de charge utile et outil de nettoyage, ce composant supervise le déploiement, la persistance, la surveillance et l'auto-suppression potentielle.
La conception modulaire du logiciel malveillant sépare les fonctions de surveillance des charges utiles principales responsables du minage de cryptomonnaie, de l'élévation de privilèges et de la persistance. La flexibilité opérationnelle est assurée par des arguments de ligne de commande spécifiques permettant différents modes d'exécution :
Aucun paramètre : Effectue la validation de l'environnement et gère l'installation et la migration en phase initiale.
002 Re:0 : Dépose les charges utiles principales, lance le mineur et entre dans une boucle de surveillance.
016 : Redémarre le mineur s'il est arrêté.
barusu : Lance une séquence d'autodestruction, mettant fin aux composants du logiciel malveillant et supprimant les fichiers associés.
Cette approche structurée de commutation de mode renforce la résilience et assure une activité minière continue même lorsque des mesures défensives sont prises.
Bombe logique embarquée et désactivation temporisée
Ce logiciel malveillant se caractérise notamment par la présence d'une bombe logique. Le programme binaire récupère l'heure locale du système et la compare à une date butoir codée en dur, le 23 décembre 2025.
- Si le programme est exécuté avant le 23 décembre 2025, le logiciel malveillant procède à l'installation persistante et au déploiement du mineur.
- Si elle est exécutée après cette date, elle se relance automatiquement en utilisant le paramètre « barusu », déclenchant un processus d'auto-mise hors service contrôlé.
La date limite prédéfinie suggère que la campagne était conçue pour se poursuivre sans interruption jusqu'à cette date. Cette échéance pourrait correspondre à l'expiration de l'infrastructure de commande et de contrôle louée, à des fluctuations anticipées du marché des cryptomonnaies ou à une transition stratégique vers une nouvelle souche de logiciel malveillant.
Élévation de privilèges et optimisation du minage via BYOVD
Lors d'une infection classique, le fichier binaire, fonctionnant comme un vecteur autonome, écrit tous les composants nécessaires sur le disque. Parmi ceux-ci figure un exécutable légitime du service de télémétrie Windows, détourné pour charger la DLL malveillante du mineur.
Des mécanismes de persistance sont également déployés, ainsi que des composants conçus pour désactiver les outils de sécurité. Afin d'obtenir des privilèges d'exécution élevés, le logiciel malveillant utilise la technique BYOVD (Bring Your Own Vulnerable Driver) avec le pilote défectueux « WinRing0x64.sys ». Ce pilote est vulnérable à la faille CVE-2020-14979, une vulnérabilité notée CVSS 7,8 qui permet une élévation de privilèges.
En intégrant cette faille directement dans le mineur XMRig personnalisé, les attaquants obtiennent un contrôle total sur la configuration du processeur. Cette optimisation augmente les performances de minage de RandomX d'environ 15 % à 50 %, améliorant ainsi considérablement la rentabilité.
Propagation vermiforme et mouvement latéral
Contrairement aux chevaux de Troie traditionnels qui dépendent uniquement de l'exécution initiale par l'utilisateur, cette variante de XMRig intègre des fonctionnalités de propagation agressives. Elle se propage activement via les périphériques de stockage amovibles, permettant ainsi sa diffusion latérale entre les systèmes, y compris ceux situés dans des environnements isolés du réseau.
Cette capacité de propagation, semblable à celle d'un ver, transforme le logiciel malveillant en une menace auto-réplicatrice, élargissant considérablement sa portée au sein des réseaux organisationnels et augmentant l'envergure du botnet.
Calendrier opérationnel et implications stratégiques
Les preuves médico-légales indiquent une activité minière intermittente tout au long du mois de novembre 2025, suivie d'une forte augmentation à partir du 8 décembre 2025. Ce schéma suggère des stratégies de déploiement ou d'activation par étapes visant à éviter une détection précoce.
Cette campagne met en lumière l'évolution constante des logiciels malveillants courants. En combinant ingénierie sociale, usurpation d'identité de logiciels légitimes, propagation de type ver et exploitation au niveau du noyau, les acteurs malveillants ont conçu un botnet de cryptojacking robuste et performant, capable d'effectuer un minage de cryptomonnaies soutenu et optimisé.
