Trellix: хитрый троян-майнер прыгает через воздушный зазор с драйвером в кармане

Специалисты Trellix выявили новую криптоджекинг-кампанию, в которой используется зловред для Windows, умеющий самостоятельно распространяться через внешние носители, включая среды без сетевого подключения. Для обхода пользовательской защиты и высвобождения ресурсов под майнинг применяется техника BYOVD: троян устанавливает уязвимый драйвер ядра.

Цепочка заражения начинается с привычной приманки — фальшивого кряка премиального софта. В Windows-инсталлятор встроен дроппер, разворачивающий основной компонент — тулкит Explorer.exe (на 19 февраля его результат на VirusTotal составлял 37/72). Он действует как конечный автомат: параметры запуска определяют его роль — установщика, сторожевого процесса, менеджера полезной нагрузки или инструмента для завершения процессов. Все нужные модули встроены в архив, который зловред распаковывает в папку локального пользователя, маскируя файлы под системные. Среди них: псевдо-Microsoft Compatibility Telemetry.exe — загрузчик майнера, kernel32.dll — XMRig, explorer.exe — процесс-«киллер».

Особое внимание исследователи обратили на множество сторожевых процессов (edge.exe, wps.exe, ksomisc.exe). Они запускаются в случайном порядке и дублируют функции контроллера, помогая быстро восстановить работу трояна в случае сбоя.

В систему устанавливается уязвимый драйвер WinRing0x64.sys версии 1.2.0, подверженный атаке CVE-2020-14979. Он добавляется как служба режима ядра. Одной из ключевых особенностей зловреда стала его способность копировать себя на флешки и внешние диски: специальный модуль отслеживает события подключения устройств и помещает на них Explorer.exe в скрытую папку, создавая также маскировочный LNK-файл для запуска на другом ПК.

В коде обнаружены характерные метки, указывающие на увлечение автора аниме. Рабочие режимы названы, например, 002 Re:0 (основные задачи), 016 (контроль работоспособности майнера), barusu (удаление файлов и завершение процессов). Кроме того, вшит таймер: если системная дата превышает 23 декабря 2025 года, троян прекращает активность. Исследователи предполагают, что вредонос может находиться на стадии тестирования — на это указывает найденный в декабре единственный действующий майнер.

Рекомендуем также:

1. Вечное недовольство как черта характера: какой знак зодиака чаще всего раздражает даже близких
2. Такую красную рыбу стоит обходить стороной: главный признак, который нужно запомнить навсегда
3. Реформа ЖКХ начинается: что кардинально изменится в коммунальных счётах и работе управляющих компаний с 1 марта