Хитрый троян-майнер прыгает через воздушный зазор с драйвером в кармане

Татьяна Никитина 20 Февраля 2026 - 10:12

...

Эксперты Trellix выявили новую, скрытную криптоджекинг-кампанию. Анализ показал, что атакующий Windows-машины зловред умеет самостоятельно распространяться через съемные носители, притом даже в физически изолированных средах.

Для обхода традиционной защиты режима пользователя и оптимизации ресурсов жертвы для майнинга применяется техника BYOVD: троян устанавливает в систему уязвимый драйвер ядра.

Цепочку заражения запускает хорошо известная приманка в виде кряка премиум-софта. В инсталляторе для Windows сокрыт дроппер, развертывающий целевого зловреда — тулкит Explorer.exe (результат VirusTotal на 19 февраля — 37/72).

Он работает, как конечный автомат, поведение которого определяют параметры командной строки, и умеет выполнять функции установщика, сторожа, менеджера полезной нагрузки, гасителя процессов.

Все необходимые инструменты Explorer.exe содержатся во встроенном архиве. Зловред распаковывает их в папку локального пользователя с атрибутами hidden или system, выдавая за известные приложения.

Так, за фейковым Microsoft Compatibility Telemetry.exe скрывается загрузчик криптомайнера, за kernel32 .dll — XMRig, за explorer .exe — убийца одноименного фантомного процесса.

Особый интерес у исследователей вызвали многочисленные сторожевые процессы (edge.exe,wps.exe, ksomisc.exe), запускаемые в произвольном порядке с помощью кастомного генератора случайных чисел. Это клоны контроллера (Explorer.exe), которые помогают ему и друг другу быстро восстановиться в случае сбоя или неожиданного завершения.

Пришлый WinRing0x64.sys версии 1.2.0 уязвим к эксплойту CVE-2020-14979. Он устанавливается и запускается в системе как служба режима ядра.

Характерной особенностью нового трояна является его способность распространяться через флешки и внешние диски. Специальный модуль отслеживает нотификации WM_DEVICECHANGE и события DBT_DEVICEARRIVAL и при подключении устройства копирует на него Explorer.exe, создавая скрытую папку и маскировочный LNK-файл, чтобы спровоцировать запуск на другом компьютере.

В коде вредоноса найдены артефакты, свидетельствующие о том, что его автор — поклонник аниме. Так, рабочие режимы обозначены 002 Re:0 (запуск основных задач), 016 (проверка и поддержка работоспособности криптомайнера), barusu (завершение процессов, удаление файлов).

Обнаружена также мина с часовым механизмом: троян сверяет системную дату с вшитым дедлайном — 23 декабря 2025 года, и при превышении сворачивает свою активность. Возможно, новое оружие пока тестируется и совершенствуется; в пользу этой гипотезы говорит также единственный найденный в декабре активный майнер.

Следующая главная новость »

Кибератака на завод: как избежать простоя и убытков?
Регистрируйтесь на эфир!

Екатерина Быстрова 15 Июня 2026 - 11:30

Малый и средний бизнес Корпорации Системы защиты данных от потери Системы резервного копирования и восстановление данных Selectel

Selectel запустил сервис аварийного восстановления инфраструктуры в облаке

Selectel запускает решение для аварийного восстановления инфраструктуры (Disaster Recovery, DR) на базе Хайстекс Акура. Сервис позволит компаниям создавать резервную площадку в облаке Selectel и быстро восстанавливать работоспособность IT-систем и бизнес-приложений в случае недоступности основной инфраструктуры.

Решение предназначено для компаний, которым важно минимизировать риски простоя критически важных сервисов и обеспечить быстрое восстановление инфраструктуры в случае сбоев. Сервис востребован в финансовом секторе, электронной коммерции, промышленности, телекоммуникациях и других сферах, где доступность цифровых сервисов имеет ключевое значение для бизнеса.

Продукт позволяет поддерживать актуальную копию инфраструктуры в резервном регионе облачной платформы Selectel, включая виртуальные машины, приложения, данные и сетевые настройки, а также автоматизирует процессы аварийного восстановления. Параметры восстановления настраиваются индивидуально для систем в зависимости от их критичности для бизнеса.

Решение также подходит для резервирования инфраструктуры, размещенной у других провайдеров или в собственной виртуальной инфраструктуре заказчика (on-premise) и поддерживает сценарии аварийного восстановления даже при смене гипервизора. В облачной платформе Selectel создается резервная копия инфраструктуры клиента. При возникновении сбоя на основной площадке компания может оперативно переключить критически важные сервисы на резервный контур и минимизировать время простоя IT-систем.

Внедрение сервиса не требует сложной самостоятельной настройки. Специалисты Selectel выполняют полный комплекс работ: проектируют архитектуру резервирования, настраивают репликацию данных и сценарии восстановления, проводят тестовые переключения с моделированием аварийных ситуаций.

Новый сервис дополняет экосистему решений Selectel для обеспечения надежности и непрерывной доступности инфраструктуры, включая инструменты резервного копирования и сервис S3 Vault для защищенного хранения резервных копий данных.

Кибератака на завод: как избежать простоя и убытков?
Регистрируйтесь на эфир!