StaryDobry rünnak
Mängijad, kes otsivad populaarseid simulatsiooni- ja füüsikapõhiseid mänge, võivad olla teadmatult installinud oma Windowsi süsteemidesse peidetud krüptoraha kaevandaja. Küberjulgeolekuteadlased tuvastasid selle laiaulatusliku operatsiooni, koodnimega StaryDobry, esmakordselt 2024. aasta detsembri lõpus. Väidetavalt kestis kampaania umbes kuu aega, ohustades paljusid masinaid kogu maailmas.
Sisukord
Kaevandamiseks kasutatavad suure jõudlusega masinad
Kampaania oli peamiselt suunatud nii üksikkasutajatele kui ka ettevõtetele mitmes piirkonnas, kusjuures märkimisväärne nakatumismäär oli Venemaal, Brasiilias, Saksamaal, Valgevenes ja Kasahstanis. Keskendudes võimsa riistvaraga mänguseadetele, suurendasid ründajad oma varjatud kaevandamistoimingute tõhusust.
Populaarsed mängud, mida kasutatakse lantidena
Rünnak põhines ähvardavate paigaldajate maskeerimisel tuntud mängude seaduslikeks koopiateks. Söödana kasutatud pealkirjade hulgas olid BeamNG.drive, Garry's Mod, Dyson Sphere Program, Universe Sandbox ja Plutocracy. Ohutegijad laadisid need troojalased installijad torrentsaitidele üles juba 2024. aasta septembris, mis näitab, et operatsioon oli hoolikalt ettekavatsetud.
Nakatunud paigaldajad käivitavad salajase rünnakuahela
Pahaaimamatutele kasutajatele, kes need niinimetatud "ümberpakid" alla laadisid, esitati standardne installiprotsess. Seadistamise ajal juurutati ja käivitati taustal peidetud tilgutifail ("unrar.dll"), mis käivitas nakkuse järgmise etapi.
Täiustatud kõrvalehoidmise tehnikad kasutusel
Enne jätkamist kontrollis tilguti mitu korda, et veenduda, et see ei töötaks virtualiseeritud või liivakastikeskkonnas, näidates oma keerulisi kõrvalehoidmisvõimalusi. Seejärel võttis ta ühendust välisteenustega, nagu api.myip.com, ip-api.com ja ipwho.is, et koguda IP-aadressid ja määrata kasutajate asukohad. Kui see samm ebaõnnestus, määrati süsteemile ebaselgetel põhjustel vaikeasukoht Hiina või Valgevene.
Keeruline mitmeetapiline täitmisprotsess
Kui masinast võeti sõrmejäljed, dekrüpteeris tilguti ja käivitas teise komponendi nimega MTX64.exe. See käivitatav fail salvestas selle sisu süsteemikataloogi nimega „Windows.Graphics.ThumbnailHandler.dll”. Põhinedes seaduslikul avatud lähtekoodiga projektil EpubShellExtThumbnailHandler, kuritarvitas käivitatav Windows Shell Extension funktsiooni järgmise kasuliku koormuse Kickstarter laadimiseks.
Kickstarteri komponent ekstraheeris krüptitud andmeploki ja kirjutas selle kettale kasutaja AppData kataloogi peidetud kausta nime all Unix.Directory.IconHandler.dll. See uus fail tõi seejärel kaugserverist viimase etapi kasuliku koormuse, mis sisaldas tegelikku krüptovaluuta kaevandajat.
Stealthy Miner juurutamine ja protsesside jälgimine
Kaevuri hukkamist jälgiti tähelepanelikult, et vältida avastamist. See kontrollis pidevalt süsteemi jälgimise tööriistu, nagu Task Manager ("taskmgr.exe") ja Process Monitor ("procmon.exe"). Kui mõni neist protsessidest tuvastati, suleti kaevandaja kontrollimisest kõrvalehoidmiseks kohe.
XMRig kohandatud selektiivseks kaevandamiseks
Operatsiooni keskmes oli XMRig kaevuri kohandatud versioon. See aktiveeriti ainult vähemalt kaheksa tuumaga protsessoritel, tagades, et kahjustatud masinatel on tõhusaks kaevandamiseks piisav töötlemisvõimsus. Lisaks asutasid ründajad avalikule kaevandusbasseinile lootmise asemel oma privaatserveri, et suunata kaevanduskasumit ainult oma infrastruktuuri.
XMRig kasutas oma sisseehitatud funktsioone käsurea juhiste sõelumiseks, säilitades samal ajal aktiivsete jälgimistööriistade kontrollimiseks eraldi lõime. See püsiv enesekaitsemehhanism aitas kaevandustegevust kasutaja eest varjatuna hoida.
Vene vihjetega mõistatuslik oht
Vaatamata operatsiooni ulatusele ja keerukusele on kurjategijate isik teadmata. Teadlased avastasid aga kampaania komponentidesse manustatud venekeelsed stringid, mis viitavad sellele, et rünnak võis pärineda vene keelt kõnelevalt ohus osalejalt.
StaryDobry kampaania toob esile riskid, mis on seotud tarkvara allalaadimisega kontrollimata allikatest. Kasutades mängude installijaid söödana, õnnestus küberkurjategijatel kasutada peidetud kaevandajat, säilitades samal ajal vargsi kohaloleku ohustatud süsteemides. See juhtum rõhutab, kui oluline on olla ettevaatlik võrgus tarkvara hankimisel, kuna ohus osalejad jätkavad oma pettustektika täiustamist.
