CoinMiner — Analyse statique profonde (5a69d7e5)

Résumé de la menace
FamilleCoinMiner
Niveau de menaceÉLEVÉ
PlatformC++ (XMRig tabanlı)
PackerTespit edilmedi
SHA2565a69d7e544366d516dca0903468a8c7d...
Première observation2026-06-29
Méthode de détectionMalwareBazaar + Amadey Loader zinciri
ConfianceMEDIUM

Informations sur le fichier

PropriétéValeur
SHA2565a69d7e544366d516dca0903468a8c7de23f7ad21bdf7cfa7fa72d5e18bbc048
MD5cbc88849ffeab52cbd7ee94d3f562c3c
SHA1
Nom du fichierfile (CoinMiner, Amadey dropped)
Taille3,743,666 bytes
Architecturex64
Date de compilationInconnu
PackerTespit edilmedi
MB première observation2026-06-29
Étiquettes MBexe, CoinMiner, 54e64e, dropped-by-amadey

Profil de menace

Famille: CoinMiner   Classification: ÉLEVÉ   Confiance: MEDIUM

Bu örnek, Amadey Loader tarafından ikinci aşamada indirilen ve çalıştırılan bir CoinMiner ailesidir. 3.7 MB'lık büyük dosya boyutu, embedded XMRig binary veya mining konfigürasyonu içerdiğine işaret etmektedir. Monero (XMR) madenciliği için CPU kaynaklarını tüketir. "54e64e" ve "dropped-by-amadey" etiketleri, bu örneğin organize bir Amadey botnet kampanyasının parçası olduğunu göstermektedir. Stratum pool adresi statik analizde tespit edilemedi — büyük ihtimalle şifreli konfigürasyon dosyasında.

Capacités détectées

  • CPU Madenciliği (Monero / XMR)
  • Stratum protokolü ile mining pool bağlantısı
  • CPU kullanım yönetimi (tespit kaçınma)
  • Persistence (autorun)
  • Anti-Debug kontrolleri

Anti-Analiz Teknikleri

  • CPU kullanımını ayarlayarak EDR tetikleyicilerinden kaçınma
  • Anti-Debug

Kalıcılık Mekanizmaları

  • HKCU\Software\Microsoft\Windows\CurrentVersion\Run\

Enjeksiyon Teknikleri

  • Tespit edilmedi (statik analizde obfuscated)

C2 Sunucuları

C2 adresi statik analizde tespit edilemedi. Konfigürasyon büyük ihtimalle şifreli veya obfuscated. Dinamik analiz (sandbox çalıştırma) ile C2 iletişimi izlenebilir.

IOC Listesi

TipValeur
sha2565a69d7e544366d516dca0903468a8c7de23f7ad21bdf7cfa7fa72d5e18bbc048
md5cbc88849ffeab52cbd7ee94d3f562c3c
domaine.mE
domaingcc.gnu.org
domainpastebin.com
domainT.dE
domainxmr-eu2.nanopool.org
domainzP.dE
domainzT.dE

Öneriler

  • Hash değerlerini EDR/SIEM sistemlerinize ekleyin
  • Tespit edilen domain ve IP'leri firewall/proxy kara listesine alın
  • Registry autorun anahtarlarını periyodik kontrol edin
  • MalwareBazaar ve VirusTotal üzerinden hash kontrolü yapın
  • Şüpheli process injection aktivitelerini izleyin

CoinMiner — Profil du malware

CoinMiner kurbanin bilgisayar kaynaklarini CPU/GPU kripto para madenciligi icin kullanan malware ailesidir. Genellikle XMRig kullanir. Sahte yazilim paketleri ile yayilir.

Type de malware
Coinminer
Langage de programmation
C/C++
Protocole C2
TCP
Systèmes ciblés
Küresel

Détails techniques

XMRig tabanli (C++), stratum protocol, pool mining, process priority manipulation, antivirus/firewall bypass, watchdog process, process injection (svchost)

Capacités et comportement

CPU/GPU Madenciliği
Kripto Para Üretimi
Kaynak Kullanımı
Kalıcılık
Anti-Analiz
Yayılma Mekanizması

Liste IOC (5 indicateurs)

IOC — CoinMiner
# SHA256 5a69d7e544366d516dca0903468a8c7de23f7ad21bdf7cfa7fa72d5e18bbc048 # MD5 cbc88849ffeab52cbd7ee94d3f562c3c # DOMAIN gcc.gnu.org # DOMAIN pastebin.com # DOMAIN xmr-eu2.nanopool.org
TypeValeurNote
sha256 5a69d7e544366d516dca0903468a8c7de23f7ad21bdf7cfa7fa72d5e18bbc048
md5 cbc88849ffeab52cbd7ee94d3f562c3c
domain gcc.gnu.org
domain pastebin.com
domain xmr-eu2.nanopool.org
Tags
coinminerxmrigmonerocryptominerpeanalizstatikiocamadeydropped