StaryDobry Attack
Играчите, търсещи популярни симулационни и базирани на физика игри, може несъзнателно да са инсталирали скрит копач на криптовалута на своите Windows системи. Изследователите на киберсигурността за първи път идентифицираха тази широкомащабна операция с кодово име StaryDobry в края на декември 2024 г. Съобщава се, че кампанията е продължила около месец, компрометирайки множество машини по целия свят.
Съдържание
Високопроизводителни машини, използвани за копаене
Кампанията е насочена основно както към отделни потребители, така и към фирми в множество региони, със забележими нива на заразяване в Русия, Бразилия, Германия, Беларус и Казахстан. Като се съсредоточават върху настройките за игри с мощен хардуер, нападателите максимизират ефективността на своите тайни операции за копаене.
Популярни игри, използвани като примамки
Атаката разчиташе на прикриване на заплашителни инсталатори като законни копия на добре познати игри. Сред заглавията, използвани като примамка, бяха BeamNG.drive, Garry's Mod, Dyson Sphere Program, Universe Sandbox и Plutocracy. Актьорите на заплахата са качили тези троянизирани инсталатори на торент сайтове още през септември 2024 г., което показва, че операцията е била внимателно обмислена.
Заразените инсталатори задействат верига от скрити атаки
Нищо неподозиращите потребители, които са изтеглили тези така наречени „повторни пакети“, са получили нещо, което изглежда като стандартен процес на инсталиране. По време на настройката скрит капкомерен файл („unrar.dll“) беше внедрен и изпълнен във фонов режим, инициирайки следващия етап от заразяването.
Усъвършенствани техники за избягване в действие
Преди да продължи, капкомерът извърши множество проверки, за да се увери, че не работи във виртуализирана среда или среда в пясъчна среда, демонстрирайки своите усъвършенствани възможности за избягване. След това се свързва с външни услуги като api.myip.com, ip-api.com и ipwho.is, за да събере IP адреси и да определи местоположението на потребителите. Ако тази стъпка е неуспешна, на системата е зададено местоположение по подразбиране Китай или Беларус по причини, които остават неясни.
Сложен многоетапен процес на изпълнение
След като машината получи пръстови отпечатъци, капкомерът дешифрира и изпълни друг компонент, наречен „MTX64.exe“. Този изпълним файл записа съдържанието си като „Windows.Graphics.ThumbnailHandler.dll“ в системна директория. Въз основа на законен проект с отворен код, EpubShellExtThumbnailHandler, изпълнимият файл злоупотреби с функционалността на Windows Shell Extension, за да зареди следния полезен товар, „Kickstarter“.
Компонентът Kickstarter извлече криптиран блок с данни и го записа на диск под името „Unix.Directory.IconHandler.dll“ в скрита папка в директорията AppData на потребителя. След това този нов файл извлича полезния товар на последния етап от отдалечен сървър, който съдържа действителния копач на криптовалута.
Разгръщане на невидимия копач и мониторинг на процеса
Екзекуцията на миньора беше внимателно наблюдавана, за да се избегне разкриването. Той непрекъснато проверява за инструменти за наблюдение на системата като Task Manager ('taskmgr.exe') и Process Monitor ('procmon.exe'). Ако някой от тези процеси беше открит, миньорът беше незабавно прекратен, за да избегне контрола.
XMRig, променен за селективно копаене
В основата на операцията беше персонализирана версия на миньор XMRig . Той се активира само на процесори с най-малко осем ядра, като гарантира, че компрометираните машини имат достатъчна процесорна мощност, за да копаят ефективно. Освен това, вместо да разчитат на публичен пул за копаене, нападателите създават свой собствен частен сървър, за да насочват печалбите от копаене изключително към тяхната инфраструктура.
XMRig използва вградената си функционалност, за да анализира инструкциите от командния ред, като същевременно поддържа отделна нишка за проверка за активни инструменти за наблюдение. Този постоянен механизъм за самозащита помогна да се запази дейността по копаене скрита от потребителя.
Мистериозна заплаха с руски улики
Въпреки мащаба и сложността на операцията, самоличността на извършителите остава неизвестна. Изследователите обаче откриха низове на руски език, вградени в компонентите на кампанията, което предполага, че атаката може да произхожда от рускоезичен актьор на заплаха.
Кампанията StaryDobry подчертава рисковете, свързани с изтеглянето на софтуер от непроверени източници. Използвайки инсталаторите на игри като стръв, киберпрестъпниците успяха да разположат скрит копач, като същевременно поддържат скрито присъствие в компрометирани системи. Този инцидент подчертава важността на предпазливостта при придобиване на софтуер онлайн, тъй като участниците в заплахите продължават да усъвършенстват своите измамни тактики.
