מתקפת StaryDobry

שחקנים שמחפשים אחר משחקים פופולריים מבוססי סימולציה ופיזיקה עשויים שלא ביודעין להתקין כורה מטבעות קריפטוגרפיים נסתר על מערכות ה-Windows שלהם. חוקרי אבטחת סייבר זיהו לראשונה את הפעולה בקנה מידה גדול זה, בשם הקוד StaryDobry, בסוף דצמבר 2024. על פי הדיווחים, הקמפיין נמשך כחודש, ופגע במכונות רבות ברחבי העולם.

מכונות בעלות ביצועים גבוהים מנוצלות לכרייה

הקמפיין מכוון בעיקר למשתמשים בודדים ולעסקים באזורים מרובים, עם שיעורי זיהום בולטים ברוסיה, ברזיל, גרמניה, בלארוס וקזחסטן. על ידי התמקדות בהגדרות משחקים עם חומרה רבת עוצמה, התוקפים ממקסמו את היעילות של פעולות הכרייה החשאיות שלהם.

משחקים פופולריים המשמשים בתור פתיונות

המתקפה הסתמכה על הסוואת מתקינים מאיימים כעותקים לגיטימיים של משחקים ידועים. בין הכותרים ששימשו כפיתיון היו BeamNG.drive, Garry's Mod, Dyson Sphere Program, Universe Sandbox ו-Plutocracy. שחקני האיום העלו את המתקינים הטרויאניים האלה לאתרי סיקור כבר בספטמבר 2024, מה שמצביע על כך שהפעולה תוכננה בקפידה.

מתקינים נגועים מפעילים שרשרת התקפה חמקנית

משתמשים תמימים שהורידו את מה שנקרא 'מארזים מחדש', הוצגו בפני מה שנראה כתהליך התקנה סטנדרטי. במהלך ההגדרה, קובץ טפטוף מוסתר ('unrar.dll') נפרס והופעל ברקע, והחל את השלב הבא של ההדבקה.

טכניקות התחמקות מתקדמות בפעולה

לפני שהמשיך, הטפטף ביצע בדיקות מרובות כדי לוודא שהוא אינו פועל בסביבה וירטואלית או בארגז חול, והדגים את יכולות ההתחמקות המתוחכמות שלו. לאחר מכן היא יצרה קשר עם שירותים חיצוניים כגון api.myip.com, ip-api.com ו-ipwho.is כדי לאסוף כתובות IP ולקבוע מיקומי משתמשים. אם שלב זה נכשל, המערכת הוקצתה מיקום ברירת מחדל של סין או בלארוס מסיבות שנותרו לא ברורות.

תהליך ביצוע רב-שלבי מורכב

לאחר הטביעת אצבע של המכשיר, הטפטפת פיענחה והוציאה לפועל רכיב נוסף בשם 'MTX64.exe'. קובץ ההפעלה הזה שמר את תוכנו בתור 'Windows.Graphics.ThumbnailHandler.dll' בספריית מערכת. בהתבסס על פרויקט קוד פתוח לגיטימי, EpubShellExtThumbnailHandler, קובץ ההפעלה השתמש לרעה בפונקציונליות של Windows Shell Extension כדי לטעון את המטען הבא, 'Kickstarter'.

רכיב Kickstarter חילץ גוש נתונים מוצפן וכתב אותו לדיסק תחת השם 'Unix.Directory.IconHandler.dll' בתיקייה נסתרת בספריית AppData של המשתמש. הקובץ החדש הזה אחזר את מטען השלב הסופי משרת מרוחק, שהכיל את כורה מטבעות הקריפטו בפועל.

פריסת הכורה החמקנית וניטור תהליכים

הוצאתו להורג של הכורה הייתה במעקב צמוד כדי למנוע גילוי. הוא בדק באופן רציף עבור כלי ניטור מערכת כמו מנהל המשימות ('taskmgr.exe') ו-Process Monitor ('procmon.exe'). אם אחד מהתהליכים הללו זוהה, הכורה הופסק מיד כדי להתחמק מבדיקה.

XMRig Tweaked עבור כרייה סלקטיבית

בליבת הפעולה הייתה גרסה מותאמת אישית של הכורה XMRig . זה הופעל רק במעבדים עם שמונה ליבות לפחות, מה שמבטיח שלמכונות שנפרצו יש כוח עיבוד מספיק כדי לכרות ביעילות. בנוסף, במקום להסתמך על מאגר כרייה ציבורי, התוקפים הקימו שרת פרטי משלהם כדי להפנות רווחי כרייה אך ורק לתשתית שלהם.

XMRig מינפה את הפונקציונליות המובנית שלה כדי לנתח הוראות שורת פקודה תוך שמירה על שרשור נפרד לבדיקת כלי ניטור פעילים. מנגנון הגנה עצמית מתמשך זה עזר לשמור על פעילות הכרייה מוסתרת מהמשתמש.

איום מסתורי עם רמזים רוסיים

למרות היקף ותחכום המבצע, זהותם של העבריינים נותרה עלומה. עם זאת, חוקרים גילו מחרוזות בשפה הרוסית המוטמעות בתוך מרכיבי הקמפיין, מה שמצביע על כך שייתכן שהמתקפה מקורה בשחקן איום דובר רוסית.

מסע הפרסום של StaryDobry מדגיש את הסיכונים הכרוכים בהורדת תוכנה ממקורות לא מאומתים. על ידי מינוף מתקיני משחקים כפיתיון, עברייני סייבר הצליחו לפרוס כורה נסתר תוך שמירה על נוכחות חמקנית במערכות שנפגעו. תקרית זו מדגישה את החשיבות של זהירות בעת רכישת תוכנה מקוונת, שכן גורמי איומים ממשיכים לחדד את הטקטיקות המטעות שלהם.