xmrig - RunkIntel

# XMRig > [!medium] Minerador de Monero Open-Source Amplamente Abusado em Campanhas de Cryptojacking > XMRig é uma ferramenta legítima de mineração de CPU para Monero (XMR) que se tornou o payload favorito de atores maliciosos em campanhas de **cryptojacking** - o sequestro de recursos computacionais de vítimas para mineração de criptomoeda em benefício dos atacantes. Presente nos relatórios de ameaças mais ativos desde 2017, com relevância especial no Brasil devido ao alto custo de energia elétrica industrial. ## Visão Geral XMRig é um projeto open-source legítimo de mineração de Monero (XMR) que se tornou o payload favorito de atores maliciosos em campanhas de cryptojacking — o sequestro de recursos computacionais de terceiros para mineração de criptomoeda. Disponível no GitHub, sua eficiência de mineração, suporte multiplataforma (Windows, Linux, macOS) e código aberto o tornaram a ferramenta preferida de grupos como [[8220-gang]] e [[teamtnt]], que o implantam como payload final após explorar vulnerabilidades como Log4Shell e Oracle WebLogic. Em campanhas maliciosas, o XMRig é o estágio final de uma cadeia sofisticada com droppers como PureCrypter, injeção em processos legítimos como `AddinProcess.exe`, encerramento de mineradores concorrentes e comunicação via protocolo Stratum. O impacto vai além do custo computacional: o acesso persistente do atacante pode ser convertido a qualquer momento em ataques mais graves. O Brasil é alvo especialmente atraente por seu alto custo de energia elétrica industrial, tornando cada host comprometido mais valioso para os atacantes. > [!latam] Relevância para Brasil e LATAM > O Brasil é alvo prioritário de campanhas de cryptojacking por dois fatores: **alto custo de energia industrial** (cada host comprometido tem maior valor econômico) e grande parque de servidores com versões desatualizadas de Log4j, Apache Struts e Oracle WebLogic. O [[8220-gang]] tem alvos confirmados na América do Sul. A presença de XMRig em infraestrutura crítica (energia, telecomúnicações, governo) indica acesso persistente que pode ser convertido em ataque destrutivo. ## Descrição O XMRig é originalmente um **projeto open-source legítimo** para mineração de criptomoeda Monero (XMR) usando CPU - disponível públicamente no GitHub. Sua eficiência de mineração, suporte a múltiplas plataformas (Windows, Linux, macOS) e código-fonte aberto o tornaram a ferramenta preferida de atores maliciosos para campanhas de **cryptojacking**: comprometer sistemas de terceiros para minerar Monero em benefício dos atacantes, sem custo de hardware ou energia. Em campanhas maliciosas, o XMRig é raramente distribuído diretamente - em vez disso, é o **payload final** de uma cadeia de ataque mais sofisticada. Grupos como o **8220 Gang** e o **TeamTNT** desenvolveram droppers especializados (como o PureCrypter) que exploram vulnerabilidades em servidores expostos (Log4Shell, Oracle WebLogic CVE-2017-3506, CVE-2023-21839), encerram processos de AV e outros mineradores concorrentes, e então implantam o XMRig com configurações apontando para pool de mineração controlado pelos atacantes. A carteira de destino é ofuscada via proxy para dificultar rastreamento. O XMRig malicioso usa múltiplas técnicas de evasão: execução fileless via injeção de processo em `AddinProcess.exe` ou `RegSvcs.exe`, carregamento via DLL reflective loading com descriptografia TripleDES, compressão Gzip e anti-debugging. Variantes worm se propagam via mídia removível para aumentar a base de hosts minerando. A configuração do miner usa protocolos de pool de mineração (Stratum) sobre portas como 3333, 4444, 5555 ou 14444 - tráfego que pode ser detectado por firewalls com inspeção de protocolo. O impacto de uma infecção por XMRig vai além do custo computacional: o alto uso de CPU (frequentemente 80-100%) degrada serviços de produção, aumenta contas de energia elétrica em data centers, e a presença do minerador indica que o atacante tem acesso persistente ao sistema - podendo implantar payloads adicionais a qualquer momento. ## Técnicas Utilizadas | Tática | Técnica | Descrição | |--------|---------|-----------| | Initial Access | [[t1190-exploit-public-facing-application\|T1190]] | Exploits em Log4Shell, Oracle WebLogic, Apache servers | | Execution | [[t1059-001-powershell\|T1059.001]] | PowerShell para download e execução do dropper/miner | | Execution | [[t1059-004-unix-shell\|T1059.004]] | Shell scripts em Linux para deploy do XMRig | | Defense Evasion | [[t1027-obfuscated-files-or-information\|T1027]] | Ofuscação do payload, TripleDES, código comprimido | | Defense Evasion | [[t1055-process-injection\|T1055]] | Injeção em processos legítimos (AddinProcess.exe, RegSvcs.exe) | | Persistence | [[t1547-001-registry-run-keys\|T1547.001]] | Registry Run Keys para inicialização automática | | Impact | [[t1496-resource-hijacking\|T1496]] | Uso de CPU da vítima para mineração de Monero | ## Grupos que Usam - [[8220-gang]] - grupo prolifico de cryptojacking, explora vulnerabilidades em servidores web e cloud - [[teamtnt]] - grupo especializado em cryptojacking em ambientes Docker/Kubernetes e cloud - Múltiplos outros grupos e script kiddies via droppers automatizados ## Detecção 1. **Monitorar uso anômalo de CPU** - XMRig causa uso sustentado de CPU em 80-100% em processos não relacionados a aplicações de negócio. Alertas de monitoramento de performance que detectam processos com alto uso de CPU persistente (por exemplo, > 60% por mais de 5 minutos) devem ser investigados imediatamente. 2. **Detectar protocolos de pool de mineração (Stratum)** - o protocolo Stratum usado para comunicação com pools de mineração é detectável por inspeção de tráfego de rede. Bloquear tráfego de saída nas portas 3333, 4444, 5555 e 14444 não utilizadas por aplicações legítimas, e implementar regras de firewall que detectam o protocolo Stratum independente da porta. 3. **Alertar para exploit de Log4Shell e WebLogic** - grande parte das infecções por XMRig começa com exploits conhecidos. Implementar WAF com regras para JNDI lookups (Log4Shell) e verificar regularmente servidores WebLogic com patches disponíveis. Soluções de detecção de atividade de exploit (IDS/IPS com regras Suricata/Snort) são eficazes. 4. **Monitorar injeção em AddinProcess.exe e RegSvcs.exe** - o PureCrypter (dropper comum do XMRig) injeta código em `AddinProcess.exe` e `RegSvcs.exe`. Detectar via Sysmon Event ID 10 (Process Access) quando processos suspeitos acessam esses targets com direitos de escrita em memória. ## Relevância LATAM/Brasil O Brasil é um alvo especialmente atraente para campanhas de cryptojacking por duas razões. Primeiro, o custo elevado de energia elétrica industrial no Brasil significa que cada host comprometido tem **maior valor econômico** para os atacantes do que em países com energia barata - o XMRig que custa R$1.000/mês em energia para uma empresa brasileira geraria muito menos custo nos EUA. Segundo, o Brasil possui um grande parque de servidores expostos à internet - incluindo empresas que executam versões desatualizadas de aplicações vulneráveis como Log4j, Apache Struts e Oracle WebLogic. Pesquisas da Unit 42 (Palo Alto) e da ESET documentaram campanhas de XMRig com alvos específicos no Brasil e na América do Sul. O [[8220-gang]] tem alvos confirmados na região. Além do impacto financeiro direto, a presença de XMRig em sistemas críticos de infraestrutura (energia, telecomúnicações, governo) representa um risco de segurança maior - indica acesso persistente que pode ser convertido em ataque mais grave a qualquer momento. ## Referências - [1](https://unit42.paloaltonetworks.com/unit42-large-scale-monero-cryptocurrency-mining-operation-using-xmrig/) Unit 42 - Large Scale Monero Mining Operation Using XMRig (2018) - [2](https://www.trendmicro.com/en_us/research/24/f/water-sigbin-xmrig.html) Trend Micro - Water Sigbin (8220 Gang) XMRig Campaigns (2024) - [3](https://www.checkpoint.com/cyber-hub/threat-prevention/what-is-malware/xmrig-malware/) Check Point - What is XMRig Malware - [4](https://www.uptycs.com/blog/threat-research-report-team/log4j-campaign-xmrig-malware) Uptycs - Log4j Campaign XMRig Deployment (2022) - [5](https://securityboulevard.com/2026/01/use-of-xmrig-cryptominer-by-threat-actors-expanding-expel/) Security Boulevard - XMRig Usage Expanding (2026)