Monero sofisticadoEl malware de minería se propaga a través de unidades externas e infecta redes aisladas. Los investigadores de Trellix descubrieron la campaña de varias etapas a finales de 2025 que utiliza exploits del kernel y procesos de autorreparación. Se propaga a través de dispositivos USB con accesos directos y carpetas ocultas engañosas.
La infección comienza con paquetes de software de oficina pirateados. Una vez en ejecución, implementa componentes de controlador y carga útil. Los procesos de vigilancia garantizan la persistencia al resucitar los módulos terminados en cuestión de segundos.
El malwaremonitorea las inserciones USB continuamente. Cuando las unidades se conectan, se copian automáticamente y crean mecanismos de persistencia ocultos. Este comportamiento similar al de un gusano viola los sistemas aislados mediante la transferencia de medios físicos.
Arquitectura de malware
El controlador maneja una lógica de decisión y monitoreo liviano. Las cargas útiles ejecutan operaciones de defensa y minería que requieren muchos recursos. La separación evita la detección de herramientas de seguridad.
Mecanismo de autocuración:
- Watchdog monitorea procesos críticos
- La terminación desencadena la resurrección inmediata
- Las dependencias circulares impiden la eliminación completa
- Múltiples componentes redundantes
La minería utiliza el algoritmo RandomX optimizado para Monero. El acceso al kernel aumenta la tasa de hash entre un 15 y un 50%.
Detalles de explotación del kernel
Técnica BYOVD: Elimina el controlador WinRing0x64.sys legítimo con CVE-2020-14979.
Escalada de privilegios: Obtiene acceso al kernel Ring 0 a través de un controlador vulnerable.
optimización de CPU: Modifica los registros específicos del modelo para deshabilitar los captadores previos.
Impulso minero: Mejora del hashrate del 15 al 50 % sin controladores personalizados.
El conductor vulnerable firmado elude las protecciones. No se necesita código de kernel malicioso.
Método de propagación
| Vector | Mecanismo | Impacto |
|---|---|---|
| Unidades USB | Copia automática + atajos ocultos | Movimiento lateral de la red |
| Discos duros externos | Carpetas de persistencia ocultas | Infección por espacio de aire |
| Software pirateado | Vector de infección inicial | Amplia distribución |
Flujo de infección USB:
- Supervisa WMI para eventos de inserción de dispositivos
- Copia el malware a una carpeta oculta del sistema
- Crea atajos LNK engañosos
- Autorun.inf se activa en la siguiente inserción
Capacidades defensivas
El malware termina activamente:
- Procesos de software de seguridad
- Explorador de Windows (explorer.exe)
- Servicios antivirus
- Puntos finales de EDR
El controlador permanece sigiloso mientras las cargas útiles ejecutan una defensa agresiva.
Controles temporales
Fecha límite codificada: 23 de diciembre de 2025
- Antes: Infección total y minería.
- Después: El modo de limpieza elimina archivos, finaliza componentes
Sugiere el ciclo de vida de la campaña planificada.
Tabla de inventario de archivos
| Componente | Objetivo | Ubicación |
|---|---|---|
| WinRing0x64.sys | Acceso al núcleo | System32/controladores |
| Controlador.exe | Seguimiento/decisión | %AppData% oculto |
| Carga útil del minero | Minería de Monero | directorios temporales |
| Perro guardián | Autosanación | Persistencia de inicio |
| cuentagotas USB | Propagación | Ejecución automática oculta |
Indicadores de detección
Anomalías del proceso:
- Eventos de terminación de explorer.exe
- Modificaciones inusuales del registro de la CPU
- Cargando WinRing0x64.sys
Red:
- Conexiones del grupo de minería de Monero
- IP de grupo de nivel de consumidor
Sistema de archivos:
- Carpetas USB ocultas con archivos LNK
- Implementaciones de controladores sospechosos
Medidas de protección
Inmediato:
- Habilitar la lista de bloqueo de controladores vulnerables de Microsoft
- Políticas de control de dispositivos para medios extraíbles
- Bloquear la carga de WinRing0x64.sys
Preventivo:
- Prohibir las descargas de software pirateado
- Filtrado web para pools de minería
- Cifrado/monitoreo de dispositivos USB
Acciones del defensor
- Búsqueda de WinRing0x64.sys en todos los puntos finales
- Monitorear eventos de inserción de USB
- Verifique los MSR de la CPU para optimizar la minería
- Analizar bloqueos de explorer.exe
Preguntas frecuentes
¿Cómo se propaga el malware?
Unidades USB con carpetas de ejecución automática ocultas.
¿Qué exploit de kernel se utilizó?
CVE-2020-14979 en el controlador WinRing0x64.sys legítimo.
¿Es posible una infección por espacio de aire?
Sí, mediante transferencia física de medios USB.
¿Mecanismo de autocuración?
Watchdog resucita los componentes terminados al instante.
¿Optimización minera?
Deshabilita los captadores previos de CPU a través de MSR; Aumento del hashrate del 15-50%.
¿Fecha de finalización de la campaña?
El 23 de diciembre de 2025 activa el modo de limpieza.