StaryDobry angreb
Spillere, der søger efter populære simulations- og fysikbaserede spil, kan ubevidst have installeret en skjult cryptocurrency-miner på deres Windows-systemer. Cybersikkerhedsforskere identificerede først denne storstilede operation, kodenavnet StaryDobry, i slutningen af december 2024. Kampagnen varede angiveligt i omkring en måned og kompromitterede adskillige maskiner verden over.
Indholdsfortegnelse
Højtydende maskiner udnyttet til minedrift
Kampagnen målrettede primært både individuelle brugere og virksomheder på tværs af flere regioner med bemærkelsesværdige infektionsrater i Rusland, Brasilien, Tyskland, Hviderusland og Kasakhstan. Ved at fokusere på spilopsætninger med kraftfuld hardware maksimerede angriberne effektiviteten af deres hemmelige minedrift.
Populære spil, der bruges som lokker
Angrebet byggede på at skjule truende installatører som legitime kopier af velkendte spil. Blandt titlerne brugt som lokkemad var BeamNG.drive, Garry's Mod, Dyson Sphere Program, Universe Sandbox og Plutocracy. Trusselsaktørerne uploadede disse trojaniserede installationsprogrammer til torrent-websteder så tidligt som i september 2024, hvilket indikerer, at operationen var omhyggeligt overlagt.
Inficerede installatører udløser en snigende angrebskæde
Intetanende brugere, der downloadede disse såkaldte 'ompakninger', blev præsenteret for, hvad der så ud til at være en standardinstallationsproces. Under opsætningen blev en skjult dropper-fil ('unrar.dll') installeret og udført i baggrunden, hvilket påbegyndte næste fase af infektionen.
Avancerede undvigelsesteknikker i aktion
Før du fortsætter, udførte dropperen flere kontroller for at sikre, at den ikke kørte i et virtualiseret eller sandkassemiljø, hvilket demonstrerede dens sofistikerede unddragelsesevner. Den kontaktede derefter eksterne tjenester såsom api.myip.com, ip-api.com og ipwho.is for at indsamle IP-adresser og bestemme brugerplaceringer. Hvis dette trin mislykkedes, blev systemet tildelt en standardplacering for Kina eller Hviderusland af årsager, der stadig er uklare.
En kompleks flertrins udførelsesproces
Når først maskinen blev taget med fingeraftryk, dekrypterede og udførte dropperen en anden komponent ved navn 'MTX64.exe.' Denne eksekverbare fil gemte sit indhold som 'Windows.Graphics.ThumbnailHandler.dll' i en systemmappe. Baseret på et legitimt open source-projekt, EpubShellExtThumbnailHandler, misbrugte den eksekverbare Windows Shell Extension-funktionalitet til at indlæse følgende nyttelast, 'Kickstarter.'
Kickstarter-komponenten udpakkede en krypteret datablok og skrev den til disken under navnet 'Unix.Directory.IconHandler.dll' i en skjult mappe i brugerens AppData-bibliotek. Denne nye fil hentede derefter nyttelasten i sidste fase fra en fjernserver, som indeholdt den faktiske cryptocurrency-miner.
The Stealthy Miner Deployment og Process Monitoring
Minearbejderens henrettelse blev nøje overvåget for at undgå opdagelse. Det tjekkede løbende for systemovervågningsværktøjer som Task Manager ('takmgr.exe') og Process Monitor ('procmon.exe'). Hvis en af disse processer blev opdaget, blev minearbejderen øjeblikkeligt afsluttet for at undgå kontrol.
XMRig tilpasset til selektiv minedrift
Kernen i operationen var en tilpasset version af XMRig- miner. Den blev kun aktiveret på CPU'er med mindst otte kerner, hvilket sikrede, at de kompromitterede maskiner havde tilstrækkelig processorkraft til at mine effektivt. Derudover, i stedet for at stole på en offentlig minepulje, satte angriberne deres egen private server op til udelukkende at dirigere minedriftsoverskud til deres infrastruktur.
XMRig udnyttede dens indbyggede funktionalitet til at parse kommandolinjeinstruktioner, mens man bibeholdt en separat tråd for at tjekke for aktive overvågningsværktøjer. Denne vedvarende selvforsvarsmekanisme hjalp med at holde minedriften skjult for brugeren.
En mystisk trussel med russiske spor
På trods af omfanget og sofistikeringen af operationen er gerningsmændenes identitet stadig ukendt. Men forskere opdagede russisksprogede strenge indlejret i kampagnens komponenter, hvilket tyder på, at angrebet kan stamme fra en russisktalende trusselsaktør.
StaryDobry-kampagnen fremhæver de risici, der er forbundet med at downloade software fra ubekræftede kilder. Ved at udnytte spilinstallatører som lokkemad lykkedes det cyberkriminelle at installere en skjult minearbejder, mens de bevarede en snigende tilstedeværelse på kompromitterede systemer. Denne hændelse understreger vigtigheden af at være forsigtig, når de anskaffer software online, da trusselsaktører fortsætter med at forfine deres vildledende taktik.
