详细内容或原文请订阅后点击阅览
用勺子挖黄金 - Monero-Mining恶意软件的复兴
“犯罪分子去钱流了。”最近,由于我们的安全分析师团队发现并检查了两年的休假后,今年4月中旬,我们的安全分析师团队发现并研究了恶意软件的复兴。
来源:G DATA _恶意软件一旦恶意 XMRig 挖矿程序(名为 miner.exe)运行,它就会在 %AppData%\frxpfpjpzvub\dvrctxctzmmr.exe 中放置自身的重命名副本。然后,它在 HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\DJKONTAH 中创建注册表项,其值指向删除的副本作为持久性形式。
Miner.exe 还会在 %temp% 文件夹中释放一个名为 djhtniluoblq.sys 的文件。此 .sys 文件是 WinRing0 驱动程序,是 XMRig 的合法组件。它用于执行注册表修改、直接内存读/写操作和权限提升等任务。
notif[.]su 上托管的所有恶意 XMRig 矿工文件(例如 eu1.exe、eu2.exe、ws1.exe、na1.exe、as.exe、au1.exe)的行为类似,但混淆后的恶意代码的 DateTimeStamp 和反混淆密钥存在差异。它们共享相同的文件大小,在同一位置放置一个名为 dvrctxctzmmr.exe 的副本,并创建一个名为“DJKONTAH”的注册表项。他们还将相同的 WinRing0 驱动程序放入同一文件路径中,但具有不同的随机文件名。
根据我们的 OSINT 调查,从 notif[.]su 下载的可执行文件的最后更新副本是从 2025 年 4 月 15 日开始的。第一阶段批处理文件 s1.bat 的最后一次来源是在 4 月 17 日,但它在 4 月 22 日更新为空白文件,几周后整个域名被删除。