概要

Trellixの研究者が、新しいcryptojackingキャンペーンについて詳細を公開しました。このキャンペーンでは、海賊版ソフトウェアバンドルを使用して、独自のXMRigマイナーをインストールします。

攻撃手法

このマルウェアは、ユーザーが無料のプレミアムソフトウェアと偽って提供される海賊版ソフトウェアバンドルをダウンロードするように誘導し、インストールされた実行ファイルに含まれる悪意のあるコードによって感染します。

マルウェアの機能

• モジュラーデザイン： 監視機能とコアペイロード（暗号通貨マイニング、権限昇格、持続性）を分離します。
• コマンドライン引数： 環境検証や移行、主要なペイロードの展開、監視ループへの入力、プロセス再起動、自己破壊シーケンスを開始します。
• BYOVD（Bring Your Own Vulnerable Driver）： WinRing0x64.sysドライバーを使用して権限昇格と持続性を確保します。このドライバーはCVE-2020-14979脆弱性により、CPUの低レベル設定を制御し、マイニングパフォーマンスを最大50%向上させます。

時間ベースの論理爆弾

このマルウェアは、12月23日以降にシステム上で実行されると、「barusu」引数で起動し、全マルウェアコンポーネントを終了してファイルを削除します。

攻撃の影響

このキャンペーンは、社会工学的手法と合法ソフトウェアの偽装、ワームのような広がり、カーネルレベルの脆弱性を利用することで、強力で効率的なボットネットを作成しています。

元記事: https://thehackernews.com/2026/02/wormable-xmrig-campaign-uses-byovd.html