Wormable XMRig Campaign Uses BYOVD Exploit and Time-Based Logic Bomb

Campagne de Minage de Cryptomonnaies Sophistiquée Utilisant des Vulnérabilités

Une campagne de cryptojacking, visant à maximiser le minage de monnaies Monero (XMR), a été découverte. Elle utilise des logiciels piratés comme appât pour déployer un mineur XMRig sur les systèmes compromis. Cette campagne se distingue par sa nature “wormable”, capable de se propager via des supports de stockage externes, et par l’exploitation de vulnérabilités pour augmenter ses performances.

Un composant clé de cette attaque est un programme polyvalent agissant comme installateur, gestionnaire de processus et nettoyeur. Il est capable de basculer entre différents modes via des arguments de ligne de commande, notamment pour la validation initiale, le lancement des modules de minage, le redémarrage du mineur en cas d’interruption, et une séquence d’autodestruction.

Une “bombe logique” est intégrée, basée sur la date système. Si la date est antérieure au 23 décembre 2025, le malware s’installe et lance le mineur. Après cette date, une procédure de désinstallation contrôlée est déclenchée, suggérant une durée de vie programmée ou une transition vers une nouvelle variante.

L’infection tire parti d’une technique appelée “Bring Your Own Vulnerable Driver” (BYOVD). Elle utilise un pilote système légitime mais vulnérable, WinRing0x64.sys, afin d’obtenir des privilèges élevés sur le système. Cela permet de mieux contrôler la configuration matérielle, notamment du CPU, et d’augmenter l’efficacité du minage de 15% à 50%.

Par ailleurs, une autre campagne mentionne l’utilisation d’un outil développé potentiellement grâce à l’IA, exploitant la vulnérabilité React2Shell (CVE-2025-55182), pour déployer également un mineur XMRig. Cette campagne souligne la facilité d’accès accrue à la cybercriminalité grâce aux modèles linguistiques avancés.

Points Clés :

• Appât : Logiciels piratés proposés gratuitement pour inciter au téléchargement de malwares.
• Mineur : Utilisation d’une version personnalisée de XMRig pour le minage de Monero.
• Wormable : Capacité de propagation via des supports de stockage externes, même en environnement isolé.
• BYOVD : Exploitation de pilotes vulnérables pour l’escalade de privilèges.
• Bombe Logique : Délai d’expiration intégré (23 décembre 2025) pour l’activité du malware.
• Performance Boost : Utilisation de vulnérabilités pour augmenter le hashrate de minage.
• IA et LLM : Mention de l’utilisation potentielle de l’IA pour créer des outils d’exploitation plus accessibles.

Vulnérabilités :

• CVE-2020-14979 (CVSS: 7.8) : Vulnérabilité dans le pilote WinRing0x64.sys permettant l’escalade de privilèges via la technique BYOVD.
• CVE-2025-55182 (CVSS: 10.0) : Vulnérabilité React2Shell exploitée dans une campagne distincte.

Recommandations :

• Éviter le téléchargement de logiciels provenant de sources non fiables ou piratées.
• Maintenir les systèmes d’exploitation et les pilotes à jour pour corriger les vulnérabilités connues.
• Mettre en place des solutions de sécurité endpoint robustes capables de détecter et bloquer les malwares et les techniques d’exploitation de pilotes.
• Sensibiliser les utilisateurs aux risques liés au phishing et aux logiciels illégitimes.
• Surveiller les activités du système, notamment l’utilisation excessive du CPU ou les communications réseau suspectes.

Source