Útok StaryDobry
Hráči, kteří hledají oblíbené simulační a fyzikální hry, možná nevědomky nainstalovali skrytý těžař kryptoměn do svých systémů Windows. Výzkumníci v oblasti kybernetické bezpečnosti poprvé identifikovali tuto rozsáhlou operaci s kódovým označením StaryDobry koncem prosince 2024. Kampaň údajně trvala asi měsíc a ohrozila řadu strojů po celém světě.
Obsah
Vysoce výkonné stroje využívané pro těžbu
Kampaň se primárně zaměřovala jak na jednotlivé uživatele, tak na podniky v různých regionech, s pozoruhodnou mírou infekce v Rusku, Brazílii, Německu, Bělorusku a Kazachstánu. Zaměřením se na herní nastavení s výkonným hardwarem útočníci maximalizovali efektivitu svých skrytých těžebních operací.
Populární hry používané jako návnady
Útok spoléhal na maskování ohrožujících instalačních programů za legitimní kopie známých her. Mezi tituly použité jako návnada byly BeamNG.drive, Garry's Mod, Dyson Sphere Program, Universe Sandbox a Plutocracy. Aktéři hrozeb nahráli tyto trojanizované instalátory na torrentové stránky již v září 2024, což naznačuje, že operace byla pečlivě promyšlená.
Infikovaní instalátoři spustí kradmý útočný řetězec
Nic netušícím uživatelům, kteří si stáhli tyto takzvané „přebalení“, byl předložen to, co vypadalo jako standardní instalační proces. Během instalace byl na pozadí nasazen a spuštěn skrytý soubor dropper ('unrar.dll'), který zahájil další fázi infekce.
Pokročilé únikové techniky v akci
Před pokračováním provedl dropper několik kontrol, aby se ujistil, že neběží ve virtualizovaném nebo izolovaném prostředí, což prokázalo své sofistikované možnosti úniku. Poté kontaktoval externí služby, jako jsou api.myip.com, ip-api.com a ipwho.is, aby získal IP adresy a určil umístění uživatelů. Pokud tento krok selhal, bylo systému z nejasných důvodů přiděleno výchozí umístění Čína nebo Bělorusko.
Složitý vícestupňový proces provádění
Jakmile byly na stroji sepsány otisky prstů, kapátko dešifrovalo a spustilo další komponent s názvem 'MTX64.exe.' Tento spustitelný soubor uložil svůj obsah jako 'Windows.Graphics.ThumbnailHandler.dll' do systémového adresáře. Na základě legitimního projektu s otevřeným zdrojovým kódem EpubShellExtThumbnailHandler, spustitelný soubor zneužil funkci rozšíření Windows Shell Extension k načtení následujícího obsahu „Kickstarter“.
Komponenta Kickstarter extrahovala zašifrovaný datový objekt blob a zapsala jej na disk pod názvem „Unix.Directory.IconHandler.dll“ do skryté složky v adresáři AppData uživatele. Tento nový soubor pak načetl užitečné zatížení konečné fáze ze vzdáleného serveru, který obsahoval skutečný těžař kryptoměn.
Stealthy Miner Deployment and Process Monitoring
Poprava horníka byla pečlivě sledována, aby nedošlo k odhalení. Průběžně kontroloval nástroje pro monitorování systému, jako je Správce úloh ('taskmgr.exe') a Process Monitor ('procmon.exe'). Pokud byl některý z těchto procesů detekován, těžař byl okamžitě ukončen, aby se vyhnul kontrole.
XMRig Tweaked pro selektivní těžbu
Jádrem operace byla upravená verze těžaře XMRig . Aktivoval se pouze na CPU s nejméně osmi jádry, což zajistilo, že napadené stroje měly dostatečný výpočetní výkon pro efektivní těžbu. Kromě toho, aby se útočníci spoléhali na veřejný fond těžby, vytvořili si svůj vlastní soukromý server, aby nasměrovali zisky z těžby výhradně do své infrastruktury.
XMRig využil své vestavěné funkce k analýze instrukcí příkazového řádku při zachování samostatného vlákna pro kontrolu aktivních monitorovacích nástrojů. Tento trvalý sebeobranný mechanismus pomohl udržet těžební činnost skrytou před uživatelem.
Tajemná hrozba s ruskými stopami
I přes rozsah a propracovanost operace zůstává identita pachatelů neznámá. Výzkumníci však objevili ruskojazyčné řetězce vložené do komponent kampaně, což naznačuje, že útok mohl pocházet od rusky mluvícího aktéra hrozby.
Kampaň StaryDobry upozorňuje na rizika spojená se stahováním softwaru z neověřených zdrojů. Využitím instalátorů her jako návnady se kyberzločincům podařilo nasadit skrytého těžaře a zároveň zachovat tajnou přítomnost na kompromitovaných systémech. Tento incident podtrhuje důležitost opatrnosti při získávání softwaru online, protože aktéři hrozeb pokračují ve zdokonalování své klamavé taktiky.
