تنتشر حملات إلكترونية جديدة تستغل برامج التعدين الخبيثة عبر أقراص USB، مستهدفة محطات العمل في كوريا الجنوبية لتعدين عملة المونيرو المشفرة.
تستخدم هذه الحملة المستمرة ملفات اختصار خادعة ومجلدات مخفية لخداع المستخدمين وتشغيل نصوص برمجية خبيثة دون علمهم.
يستفيد برنامج التعدين الخبيث من مجموعة من ملفات VBS و BAT و DLL، التي تعمل معًا لتثبيت XMRig، وهي أداة شائعة لتعدين العملات المشفرة، على الأنظمة المصابة.
يختبئ البرنامج الضار داخل مجلد يسمى “sysvolume” على أقراص USB المصابة، ويعرض فقط ملف اختصار بعنوان “USB Drive.lnk” للمستخدم.
عندما ينقر الضحايا على هذا الملف، فإنه يشغل سلسلة من العمليات الضارة، بينما يفتح مجلدًا يحتوي على ملفاتهم الأصلية في نفس الوقت.
هذا يسمح للمستخدمين بالوصول إلى بياناتهم بشكل طبيعي، مما يجعل اكتشاف الإصابة أمرًا صعبًا. وقد حدد باحثو الأمن في ASEC سلالة هذا البرنامج الضار هذه في تحليلهم المستمر للتهديدات المعتمدة على USB.
لقد صقل المهاجمون تقنياتهم منذ الإصدارات السابقة التي تم توثيقها في فبراير 2025، حيث صنفت Mandiant هذه التهديدات على أنها DIRTYBULK و CUTFAIL في تقريرها الصادر في يوليو 2025.
تبدأ العدوى عندما يقوم المستخدمون بتشغيل ملف الاختصار الخادع، والذي يقوم بتشغيل نص VBS برمجي باسم تم إنشاؤه عشوائيًا مثل “u566387.vbs”.
يقوم هذا النص البرمجي بعد ذلك بتشغيل ملف BAT ضار يقوم بإجراء العديد من العمليات الهامة، بما في ذلك إضافة مسارات استثناء لـ Windows Defender وإنشاء مجلد باسم يحتوي على مسافة في “C:Windows System32” لتجنب الكشف.
يقوم نص BAT بنسخ وإعادة تسمية ملف الإسقاط الضار باسم “printui.dll” وتحميله عبر برنامج “printui.exe” الشرعي.
آلية العدوى وتكتيكات الاستمرارية لبرامج التعدين الخبيثة
يقوم مكون الإسقاط بإنشاء الاستمرارية عن طريق تسجيل DLL مع خدمة DcomLaunch.
بمجرد التسجيل، يقوم البرنامج الضار المسمى PrintMiner بتعديل إعدادات طاقة النظام لمنع وضع السكون ويتواصل مع خوادم القيادة والتحكم لتنزيل حمولات مشفرة.
تشمل الملفات التي تم فك تشفيرها XMRig تم تكوينه لتعدين Monero باستخدام المعلمات التالية:
-o r2.hashpoolpx[.]net:443 --tls --max-cpu-usage=50يراقب البرنامج الضار العمليات قيد التشغيل وينهي XMRig عندما يقوم المستخدمون بتشغيل الألعاب أو أدوات مراقبة العمليات مثل Process Explorer و Task Manager و System Informer.
يساعد هذا التكتيك المراوغ على تجنب اكتشاف برنامج التعدين مع تقليل التأثيرات على الأداء التي قد تنبه المستخدمين. تظل الهجمات المعتمدة على USB فعالة عند دمجها مع الهندسة الاجتماعية.