Cotització de descompte per a múltiples llicències
Base de dades d'amenaces Programari maliciós Atac de StaryDobry

Atac de StaryDobry

El Mezo el Programari maliciós
Traduir a:
Català

És possible que els jugadors que cerquin jocs populars de simulació i basats en la física hagin instal·lat sense saber-ho un miner de criptomoneda amagat als seus sistemes Windows. Els investigadors de ciberseguretat van identificar per primera vegada aquesta operació a gran escala, amb el nom en clau StaryDobry, a finals de desembre de 2024. Segons els informes, la campanya va durar aproximadament un mes i va comprometre nombroses màquines a tot el món.

Màquines d'alt rendiment explotades per a la mineria

La campanya es va dirigir principalment tant a usuaris individuals com a empreses de diverses regions, amb taxes d'infecció notables a Rússia, Brasil, Alemanya, Bielorússia i Kazakhstan. En centrar-se en les configuracions de jocs amb un maquinari potent, els atacants van maximitzar l'eficiència de les seves operacions mineres encobertes.

Jocs populars utilitzats com a esquers

L'atac es basava en disfressar els instal·ladors amenaçadors com a còpies legítimes de jocs coneguts. Entre els títols utilitzats com a esquer hi havia BeamNG.drive, Garry's Mod, Dyson Sphere Program, Universe Sandbox i Plutocracy. Els actors de l'amenaça van penjar aquests instal·ladors troianitzats a llocs de torrent ja el setembre de 2024, cosa que indica que l'operació va ser acuradament premeditada.

Els instal·ladors infectats desencadenen una cadena d'atac furtiva

Els usuaris desprevinguts que van descarregar aquests anomenats "reempaquetes" van rebre el que semblava un procés d'instal·lació estàndard. Durant la configuració, es va desplegar un fitxer comptagotes ocult ('unrar.dll') i es va executar en segon pla, iniciant la següent etapa de la infecció.

Tècniques d'evasió avançades en acció

Abans de continuar, el comptagotes va realitzar diverses comprovacions per assegurar-se que no s'executava en un entorn virtualitzat o amb sorra, demostrant les seves sofisticades capacitats d'evasió. A continuació, va contactar amb serveis externs com api.myip.com, ip-api.com i ipwho.is per recopilar adreces IP i determinar les ubicacions dels usuaris. Si aquest pas fallava, s'assignava al sistema una ubicació predeterminada de la Xina o Bielorússia per motius que encara no estan clars.

Un complex procés d'execució en diverses etapes

Un cop es va prendre l'empremta digital de la màquina, el comptagotes va desxifrar i va executar un altre component anomenat "MTX64.exe". Aquest executable va desar el seu contingut com a "Windows.Graphics.ThumbnailHandler.dll" en un directori del sistema. Basat en un projecte legítim de codi obert, EpubShellExtThumbnailHandler, l'executable va utilitzar malament la funcionalitat de l'extensió de Shell de Windows per carregar la càrrega útil següent, "Kickstarter".

El component Kickstarter va extreure un blob de dades xifrat i el va escriure al disc amb el nom "Unix.Directory.IconHandler.dll" en una carpeta oculta dins del directori AppData de l'usuari. Aquest nou fitxer va recuperar la càrrega útil de l'etapa final d'un servidor remot, que contenia el miner de criptomoneda real.

El desplegament i seguiment del procés Stealthy Miner

L'execució del miner va ser vigilada de prop per evitar la seva detecció. Va comprovar contínuament les eines de supervisió del sistema com el Gestor de tasques ('taskmgr.exe') i el Monitor de processos ('procmon.exe'). Si es detectava algun d'aquests processos, el miner s'acabava immediatament per evadir l'escrutini.

XMRig ajustat per a la mineria selectiva

Al nucli de l'operació hi havia una versió personalitzada del miner XMRig . Només es va activar en CPU amb almenys vuit nuclis, assegurant-se que les màquines compromeses tinguessin prou potència de processament per explotar de manera eficient. A més, en lloc de confiar en un grup de mineria pública, els atacants van configurar el seu propi servidor privat per dirigir els beneficis de la mineria exclusivament a la seva infraestructura.

XMRig va aprofitar la seva funcionalitat integrada per analitzar les instruccions de la línia d'ordres mentre mantenia un fil separat per comprovar les eines de supervisió actives. Aquest mecanisme d'autodefensa persistent va ajudar a mantenir l'activitat minera oculta a l'usuari.

Una amenaça misteriosa amb pistes russes

Malgrat l'envergadura i la sofisticació de l'operació, la identitat dels autors segueix sent desconeguda. Tanmateix, els investigadors van descobrir cadenes en llengua russa incrustades dins dels components de la campanya, cosa que suggereix que l'atac podria haver-se originat per un actor d'amenaça de parla russa.

La campanya StaryDobry destaca els riscos associats a la descàrrega de programari de fonts no verificades. Aprofitant els instal·ladors de jocs com a esquer, els cibercriminals van aconseguir desplegar un miner ocult mentre mantenien una presència sigilosa en sistemes compromesos. Aquest incident subratlla la importància de la precaució a l'hora d'adquirir programari en línia, ja que els actors de les amenaces continuen perfeccionant les seves tàctiques enganyoses.

Tendència

Més vist

Carregant...