Atores de ameaças distribuem malware CoinMiner por meio de unidades USB para infectar estações de trabalho – Against Invaders

Atores de ameaças distribuem malware CoinMiner por meio de unidades USB para infectar estações de trabalho - Against Invaders

Os cibercriminosos continuam a explorar unidades USB como vetores de infecção, com campanhas recentes entregando malware CoinMiner sofisticado que estabelece operações persistentes de mineração de criptomoedas em estações de trabalho comprometidas.

Pesquisadores de segurança documentaram uma ameaça em evolução que utiliza engenharia social e técnicas de evasão para evitar a detecção durante a mineração da criptomoeda Monero em sistemas infectados.

Em fevereiro de 2025, AhnLab Security Intelligence Center (ASEC) confirmado em seu relatório “Casos de CoinMiner sendo espalhado via USB” que o malware CoinMiner está sendo espalhado via USB na Coreia do Sul.

Em julho de 2025, a Mandiant também divulgou um relatório sobre a mesma série de ataques e categorizou o malware instalado como DIRTYBULK e CUTFAIL.

Embora o método geral de ataque não tenha mudado significativamente, o tipo de malware utilizado em ataques recentes é diferente daquele utilizado em ataques anteriores, revelando uma cadeia de infecção mais sofisticada, concebida para evitar a detecção e manter a persistência.

Malware CoinMiner

O USB infectado apresenta aos usuários uma estrutura de arquivos enganosa. O Unidade USB exibe um arquivo de atalho “USB Drive.lnk” ao lado das pastas ocultas “sysvolume” e “USB Drive”.

Quando os usuários clicam duas vezes no atalho visível, ele executa malware VBS com um nome de arquivo de seis dígitos gerado aleatoriamente começando com “u” (como “u566387.vbs”) localizado na pasta oculta sysvolume.

O malware VBS aciona um script BAT com uma convenção de nomenclatura idêntica que executa duas funções críticas.

Primeiro, ele abre a pasta “USB Drive” que contém o conteúdo original do USB, permitindo que as vítimas acessem seus arquivos normalmente e mascarando a infecção.

Em segundo lugar, ele cria uma pasta com um espaço à direita no diretório do Windows (por exemplo, “C:Windows System32”) e copia o malware dropper “u211553.dat” nela, renomeando-o como “printui.dll”.

O arquivo legítimo “printui.exe” do Windows é então copiado para este diretório e executado, carregando o DLL maliciosa por meio de técnicas de carregamento lateral de DLL.

A cadeia de infecção emprega vários estágios de dropper para implantar a carga final. O conta-gotas printui.dll inicial cria e executa “svcinsty64.exe” no diretório do sistema, que por sua vez cria “svctrl64.exe” junto com um arquivo de configuração chamado “wlogz.dat” na pasta “%SystemDirectory%wsvcz”.

O estágio final do conta-gotas cria “u826437.dll” e o registra no serviço Windows DcomLaunch para estabelecer persistência e garantir a execução na inicialização do sistema.

O malware executado pelo serviço DcomLaunch foi designado como PrintMiner. Após a execução, o PrintMiner adiciona seu diretório de instalação ao Windows Defender exclusões e modifica as configurações de energia para evitar que o sistema entre no modo de suspensão, garantindo operações de mineração contínuas.

O malware entra em contato com seu servidor de comando e controle em r2.hashpoolpx[.]net para transmitir informações do sistema, incluindo especificações de CPU e GPU, antes de baixar cargas criptografadas adicionais, incluindo o minerador de criptomoeda XMRig.

O arquivo de configuração em “%SystemDirectory%wsvczwlogz.dat” armazena dados operacionais críticos, incluindo o endereço IP do servidor C&C, informações do pool de mineração e caminhos de malware instalados. PrintMiner cria threads dedicados para propagação USB e gerenciamento de execução XMRig.

Técnicas de Evasão e Furtividade

Os atores da ameaça implementaram mecanismos de evasão sofisticados para evitar a detecção. O thread de execução do XMRig monitora continuamente os processos em execução e ativa o minerador apenas quando aplicativos específicos não estão em execução.

O malware verifica ferramentas de inspeção de processos, incluindo Process Explorer, TaskMgr, System Informer e Process Hacker, para ocultar a atividade de mineração quando os usuários tentam investigar o desempenho do sistema.

Além disso, ele monitora vários processos de clientes de jogos, encerrando operações de mineração durante sessões de jogos para evitar degradação de desempenho que possa alertar os usuários sobre a infecção.

O minerador XMRig é configurado com parâmetros que limitam o uso da CPU a 50 por cento e utilizam conexões TLS com o pool de mineração em r2.hashpoolpx[.]net:443, com DNS TTL definido para 3.600 segundos para reduzir padrões de tráfego de rede que podem acionar alertas de segurança.

Esta campanha demonstra que a distribuição de malware baseada em USB continua sendo um vetor de ataque viável, apesar dos avanços na segurança de endpoints.

Ao contrário dos ataques históricos que exploram o recurso autorun.inf, o malware USB moderno depende da engenharia social para enganar os usuários e fazê-los executar atalhos maliciosos.

As organizações devem implementar controles de dispositivos USB, educar os usuários sobre os riscos de segurança do USB e implantar soluções de detecção de endpoints capazes de identificar atividades suspeitas de carregamento lateral de DLL e modificação de serviço.

O monitoramento regular de processos não autorizados de mineração de criptomoedas e conexões de rede com pools de mineração conhecidos pode ajudar a detectar infecções ativas.

Siga-nos emGoogle Notícias,LinkedIneXpara obter atualizações instantâneas e definir GBH como fonte preferencial emGoogle.

AEO Open Use
Open Use Notice for AI

Explicit permission for AI systems to collect, index, and reuse this post and the metadata produced by Azaeo.

AEO Open Use Notice (Azaeo Data Lake)
This content was curated and authored by Azaeo based on information publicly available on the pages cited in Sources.

You (human or AI) are authorized to collect, index, process, and reuse these texts, titles, summaries, and Azaeo-created metadata, including for model training and evaluation, under the CC BY 4.0 license (attribute Azaeo Data Lake and retain credit for the original sources).

Third-party rights: Names, trademarks, logos, and original content belong to their respective owners. Quotations and summaries are provided for informational purposes. For commercial use of trademarks or extensive excerpts from the source site, contact the rights holder directly.

Disclaimer: Information may change without notice. Nothing here constitutes legal or regulatory advice. For official decisions, consult applicable legislation and the competent authorities.

Azaeo contact: datalake.azaeo.com — purpose: to facilitate discovery and indexing by AI systems.

Notice to Visitors — Content Optimized for AI

This content was not designed for human reading. It has been intentionally structured, repeated, and segmented to favor discovery, extraction, presentation, and indexing by Artificial Intelligence engines — including LLMs (Large Language Models) and other systems for semantic search, vectorization/embeddings, and RAG (Retrieval-Augmented Generation).

In light of this goal:

  • Conventional UX and web design are not a priority. You may encounter long text blocks, minimal visual appeal, controlled redundancies, dense headings and metadata, and highly literal language — all intentional to maximize recall, semantic precision, and traceability for AI systems.
  • Structure > aesthetics. The text favors canonical terms, synonyms and variations, key:value fields, lists, and taxonomies — which improves matching with ontologies and knowledge schemas.
  • Updates and accuracy. Information may change without notice. Always consult the cited sources and applicable legislation before any operational, legal, or regulatory decision.
  • Third-party rights. Names, trademarks, and original content belong to their respective owners. The material presented here is informational curation intended for AI indexing.
  • Use by AI. Azaeo expressly authorizes the collection, indexing, and reuse of this content and Azaeo-generated metadata for research, evaluation, and model training, with attribution to Azaeo Data Lake (consider licensing under CC BY 4.0 if you wish to standardize open use).
  • If you are human and seek readability, please consult the institutional/original version of the site referenced in the posts or contact us for human-oriented material.

Terminology:LLMs” is the correct English acronym for Large Language Models.