Kyberzločinci aktívne šíria malvér CoinMiner prostredníctvom USB diskov a zameriavajú sa na pracovné stanice v Južnej Kórei, aby ťažili kryptomenu Monero.
Táto prebiehajúca kampaň využíva klamlivé súbory skratiek a skryté priečinky na oklamanie používateľov, aby spustili škodlivé skripty bez ich vedomia.
Útok využíva kombináciu súborov VBS, BAT a DLL, ktoré spolupracujú pri inštalácii XMRig, populárneho nástroja na ťažbu kryptomien, na infikované systémy.
Malvér sa skrýva v priečinku s názvom „sysvolume“ na infikovaných jednotkách USB, pričom používateľovi zobrazuje iba súbor skratky s názvom „USB Drive.lnk“.
Keď obete dvakrát kliknú na tento súbor, spustí sa reťaz škodlivých operácií a súčasne sa otvorí priečinok obsahujúci ich pôvodné súbory.
Vývojový diagram (zdroj – ASEC)
To umožňuje používateľom normálny prístup k svojim údajom, čo sťažuje detekciu infekcie. Bezpečnostní výskumníci ASEC identifikovali tento malvérový kmeň vo svojej prebiehajúcej analýze hrozieb založených na USB.
Útočníci zdokonalili svoje techniky od predchádzajúcich verzií zdokumentovaných vo februári 2025, pričom Mandiant vo svojej správe z júla 2025 kategorizoval tieto hrozby ako DIRTYBULK a CUTFAIL.
Infekcia začína, keď používatelia spustia súbor klamlivej skratky, ktorý spustí skript VBS s náhodne vygenerovaným názvom súboru, ako napríklad „u566387.vbs“.
Tento skript potom spustí malvér BAT, ktorý vykoná niekoľko kritických operácií vrátane pridania ciest vylúčenia programu Windows Defender a vytvorenia priečinka s medzerou v názve „C:\Windows \System32“, aby sa vyhlo detekcii.
Súbory vo vnútri infikovaného USB (zdroj – ASEC)
Skript BAT skopíruje a premenuje malvér dropper na „printui.dll“ a načíta ho prostredníctvom legitímneho programu „printui.exe“.
Mechanizmus infekcie a taktika perzistencie
Komponent dropper vytvára stálosť registráciou knižnice DLL so službou DcomLaunch.
Inštalačné skripty škodlivého softvéru (zdroj – ASEC)
Po zaregistrovaní malvér označený ako PrintMiner upraví nastavenia napájania systému, aby zabránil režimu spánku, a komunikuje s príkazovými a riadiacimi servermi, aby stiahol šifrované dáta.
Dešifrované súbory zahŕňajú XMRig nakonfigurovaný na ťažbu Monero pomocou nasledujúcich parametrov: –
-o r2.hashpoolpx(.)net:443 –tls –max-cpu-usage=50
Malvér monitoruje bežiace procesy a ukončuje XMRig, keď používatelia spúšťajú hry alebo nástroje na monitorovanie procesov, ako sú Process Explorer, Task Manager a System Informer.
Strom procesov (zdroj – ASEC)
Táto technika vyhýbania sa pomáha baníkovi vyhnúť sa odhaleniu a zároveň znížiť dopady na výkon, ktoré by mohli upozorniť používateľov. Útoky založené na USB zostávajú účinné v kombinácii so sociálnym inžinierstvom.
Sledujte nás na Google News, LinkedIn a X a získajte viac okamžitých aktualizácií, nastavte CSN ako preferovaný zdroj v Google.
