Os cibercriminosos estão espalhando ativamente o malware CoinMiner por meio de unidades USB, visando estações de trabalho em toda a Coreia do Sul para extrair a criptomoeda Monero.
Esta campanha contínua usa arquivos de atalho enganosos e pastas ocultas para induzir os usuários a executar scripts maliciosos sem o seu conhecimento.
O ataque utiliza uma combinação de arquivos VBS, BAT e DLL que funcionam juntos para instalar o XMRig, uma popular ferramenta de mineração de criptomoedas, em sistemas infectados.
O malware se esconde em uma pasta chamada “sysvolume” nas unidades USB infectadas, exibindo apenas um arquivo de atalho denominado “USB Drive.lnk” para o usuário.
Quando as vítimas clicam duas vezes neste arquivo, uma cadeia de operações maliciosas é acionada e, ao mesmo tempo, abre uma pasta contendo seus arquivos originais.
Fluxograma (Fonte – ASEC)
Isso permite que os usuários acessem seus dados normalmente, dificultando a detecção da infecção. Os pesquisadores de segurança da ASEC identificaram essa variedade de malware em suas análises contínuas de ameaças baseadas em USB.
Os invasores refinaram suas técnicas desde versões anteriores documentadas em fevereiro de 2025, com a Mandiant categorizando essas ameaças como DIRTYBULK e CUTFAIL em seu relatório de julho de 2025.
A infecção começa quando os usuários executam o arquivo de atalho enganoso, que executa um script VBS com um nome de arquivo gerado aleatoriamente, como “u566387.vbs”.
Esse script então aciona o malware BAT que executa diversas operações críticas, incluindo a adição de caminhos de exclusão do Windows Defender e a criação de uma pasta com um espaço em seu nome em “C:\Windows \System32\” para evitar a detecção.
Arquivos dentro do USB infectado (Fonte – ASEC)
O script BAT copia e renomeia o malware dropper como “printui.dll” e o carrega por meio do programa legítimo “printui.exe”.
Mecanismo de infecção e táticas de persistência
O componente dropper estabelece persistência registrando uma DLL no serviço DcomLaunch.
Scripts de instalação de malware (Fonte – ASEC)
Uma vez registrado, o malware designado como PrintMiner ajusta as configurações de energia do sistema para evitar o modo de suspensão e se comunica com servidores de comando e controle para baixar cargas criptografadas.
Os arquivos descriptografados incluem XMRig configurado para extrair Monero usando os seguintes parâmetros: –
-o r2.hashpoolpx(.)net:443 –tls –max-cpu-usage=50
O malware monitora processos em execução e encerra o XMRig quando os usuários iniciam jogos ou ferramentas de monitoramento de processos como Process Explorer, Task Manager e System Informer.
Árvore de processos (Fonte – ASEC)
Essa técnica de evasão ajuda o minerador a evitar a detecção e, ao mesmo tempo, reduz os impactos no desempenho que podem alertar os usuários. Os ataques baseados em USB permanecem eficazes quando combinados com engenharia social.
Siga-nos no Google News, LinkedIn e X para obter mais atualizações instantâneas, defina CSN como fonte preferencial no Google.
