حمله StaryDobry

بازیکنانی که به دنبال بازی‌های مبتنی بر شبیه‌سازی و فیزیک محبوب هستند، ممکن است ناآگاهانه یک ماینر رمزنگاری پنهان را روی سیستم‌های ویندوز خود نصب کرده باشند. محققان امنیت سایبری برای اولین بار در اواخر دسامبر 2024 این عملیات مقیاس بزرگ را با نام رمز StaryDobry شناسایی کردند. طبق گزارش ها، این کمپین حدود یک ماه به طول انجامید و ماشین های زیادی را در سراسر جهان به خطر انداخت.

ماشین آلات با کارایی بالا که برای استخراج مورد بهره برداری قرار می گیرند

این کمپین در درجه اول هم کاربران فردی و هم مشاغل را در مناطق مختلف هدف قرار داده است، با نرخ آلودگی قابل توجه در روسیه، برزیل، آلمان، بلاروس و قزاقستان. مهاجمان با تمرکز بر تنظیمات بازی با سخت افزار قدرتمند، کارایی عملیات استخراج مخفی خود را به حداکثر رساندند.

بازی های محبوبی که به عنوان فریب استفاده می شوند

این حمله متکی به پنهان کردن نصب‌کننده‌های تهدیدکننده به عنوان نسخه‌های قانونی بازی‌های معروف بود. از عناوین مورد استفاده به عنوان طعمه می توان به BeamNG.drive، Garry's Mod، Dyson Sphere Program، Universe Sandbox و Plutocracy اشاره کرد. عاملان تهدید این نصب‌کننده‌های تروجان‌شده را در سپتامبر ۲۰۲۴ در سایت‌های تورنت آپلود کردند، که نشان می‌دهد این عملیات با دقت از پیش طراحی شده بود.

نصب کننده های آلوده یک زنجیره حمله مخفی را راه اندازی می کنند

کاربران ناآگاهی که این به اصطلاح «repacks» را دانلود کرده‌اند، با چیزی که به نظر می‌رسد یک فرآیند نصب استاندارد است، ارائه شده‌اند. در طول راه اندازی، یک فایل قطره چکان مخفی ('unrar.dll') در پس زمینه مستقر و اجرا شد و مرحله بعدی آلودگی را آغاز کرد.

تکنیک های پیشرفته فرار در عمل

قبل از ادامه، قطره چکان های متعددی را انجام داد تا مطمئن شود که در محیط مجازی یا جعبه سندباد اجرا نمی شود و قابلیت های فرار پیچیده خود را نشان می دهد. سپس با سرویس‌های خارجی مانند api.myip.com، ip-api.com و ipwho.is تماس گرفت تا آدرس‌های IP را جمع‌آوری کند و مکان‌های کاربر را تعیین کند. اگر این مرحله ناموفق بود، به دلایلی نامشخص به سیستم یک مکان پیش‌فرض چین یا بلاروس اختصاص داده شد.

یک فرآیند پیچیده اجرای چند مرحله ای

هنگامی که دستگاه انگشت نگاری شد، قطره چکان مؤلفه دیگری به نام «MTX64.exe» را رمزگشایی و اجرا کرد. این فایل اجرایی محتویات خود را به عنوان "Windows.Graphics.ThumbnailHandler.dll" در دایرکتوری سیستم ذخیره کرد. بر اساس یک پروژه منبع باز قانونی، EpubShellExtThumbnailHandler، فایل اجرایی از عملکرد Windows Shell Extension برای بارگیری بار زیر، «Kickstarter» سوء استفاده کرد.

مؤلفه Kickstarter یک حباب داده رمزگذاری شده را استخراج کرد و آن را روی دیسک با نام «Unix.Directory.IconHandler.dll» در یک پوشه مخفی در پوشه AppData کاربر نوشت. این فایل جدید سپس بار نهایی مرحله نهایی را از یک سرور راه دور که حاوی استخراج کننده واقعی ارز دیجیتال بود، بازیابی کرد.

استقرار ماینر مخفی و نظارت بر فرآیند

اعدام معدنچی برای جلوگیری از شناسایی به دقت زیر نظر گرفته شد. به طور مداوم ابزارهای نظارت بر سیستم مانند Task Manager ('taskmgr.exe') و Process Monitor ('procmon.exe') را بررسی می کرد. اگر هر یک از این فرآیندها شناسایی می شد، ماینر فوراً خاتمه می یافت تا از بررسی دقیق فرار کند.

XMRig برای استخراج انتخابی بهینه شده است

هسته اصلی این عملیات یک نسخه سفارشی شده از ماینر XMRig بود. این فقط روی CPUهایی با حداقل هشت هسته فعال می‌شود و این اطمینان را می‌دهد که ماشین‌های در معرض خطر قدرت پردازش کافی برای استخراج کارآمد دارند. علاوه بر این، مهاجمان به جای تکیه بر یک استخر استخراج عمومی، سرور خصوصی خود را راه اندازی کردند تا سود استخراج را منحصراً به زیرساخت خود هدایت کند.

XMRig از عملکرد داخلی خود برای تجزیه دستورالعمل های خط فرمان و در عین حال حفظ یک رشته جداگانه برای بررسی ابزارهای نظارت فعال استفاده کرد. این مکانیسم دفاع شخصی مداوم به کاربر کمک می‌کند تا فعالیت ماینینگ را از دید کاربر پنهان نگه دارد.

یک تهدید مرموز با سرنخ های روسی

با وجود گستردگی و پیچیدگی عملیات، هویت عاملان هنوز مشخص نیست. با این حال، محققان رشته‌هایی به زبان روسی را کشف کردند که در اجزای کمپین تعبیه شده بود، که نشان می‌دهد این حمله ممکن است از یک عامل تهدید روسی زبان سرچشمه گرفته باشد.

کمپین StaryDobry خطرات مرتبط با دانلود نرم افزار از منابع تایید نشده را برجسته می کند. با استفاده از نصب کنندگان بازی به عنوان طعمه، مجرمان سایبری موفق شدند یک ماینر پنهان را مستقر کنند و در عین حال حضور مخفیانه خود را در سیستم های در معرض خطر حفظ کنند. این حادثه بر اهمیت احتیاط هنگام خرید آنلاین نرم افزار تاکید می کند زیرا عوامل تهدید همچنان تاکتیک های فریبنده خود را اصلاح می کنند.