StaryDobry támadás
A népszerű szimulációs és fizikai alapú játékokat kereső játékosok tudtukon kívül rejtett kriptovaluta bányászt telepítettek Windows rendszerükre. A kiberbiztonsági kutatók először 2024 decemberének végén azonosították ezt a nagyszabású, StaryDobry kódnevű műveletet. A kampány állítólag körülbelül egy hónapig tartott, és világszerte számos gépet veszélyeztetett.
Tartalomjegyzék
Bányászathoz használt nagy teljesítményű gépek
A kampány elsősorban az egyéni felhasználókat és a vállalkozásokat célozta meg több régióban, jelentős fertőzési arányokkal Oroszországban, Brazíliában, Németországban, Fehéroroszországban és Kazahsztánban. A nagy teljesítményű hardverrel rendelkező játékbeállításokra összpontosítva a támadók maximalizálták titkos bányászati műveleteik hatékonyságát.
Népszerű csaliként használt játékok
A támadás azon alapult, hogy a fenyegető telepítőket jól ismert játékok törvényes másolatainak álcázták. A csaliként használt címek között szerepelt a BeamNG.drive, a Garry's Mod, a Dyson Sphere Program, a Universe Sandbox és a Plutocracy. A fenyegetés szereplői ezeket a trójai telepítőket már 2024 szeptemberében feltöltötték torrentoldalakra, jelezve, hogy a műveletet alaposan megtervezték.
A fertőzött telepítők lopakodó támadási láncot indítanak el
Azok a gyanútlan felhasználók, akik letöltötték ezeket az úgynevezett „újracsomagolásokat”, egy szabványos telepítési folyamatot kaptak. A telepítés során egy rejtett dropper fájl ("unrar.dll") került telepítésre és végrehajtásra a háttérben, elindítva a fertőzés következő szakaszát.
Fejlett kijátszási technikák működés közben
A továbblépés előtt a dropper többszöri ellenőrzést hajtott végre, hogy meggyőződjön arról, hogy nem fut virtualizált vagy sandbox-környezetben, bemutatva kifinomult kijátszási képességeit. Ezután felvette a kapcsolatot az olyan külső szolgáltatásokkal, mint az api.myip.com, ip-api.com és ipwho.is, hogy összegyűjtsék az IP-címeket és meghatározzák a felhasználók tartózkodási helyét. Ha ez a lépés sikertelen volt, a rendszerhez Kínát vagy Fehéroroszországot rendelték hozzá az alapértelmezett helyet, tisztázatlan okok miatt.
Összetett többlépcsős végrehajtási folyamat
Miután a gépről ujjlenyomatot vettek, a dropper visszafejtette a titkosítást, és végrehajtott egy másik „MTX64.exe” nevű összetevőt. Ez a végrehajtható fájl „Windows.Graphics.ThumbnailHandler.dll” néven mentette a tartalmát egy rendszerkönyvtárba. Egy legitim nyílt forráskódú projekten, az EpubShellExtThumbnailHandleren alapuló végrehajtható fájl visszaélt a Windows Shell Extension funkciójával, hogy betöltse a következő hasznos adatot, a „Kickstartert”.
A Kickstarter komponens kicsomagolt egy titkosított adatblobot, és „Unix.Directory.IconHandler.dll” néven lemezre írta a felhasználó AppData könyvtárában található rejtett mappába. Ez az új fájl azután lekérte egy távoli szerverről az utolsó szakaszban lévő hasznos adatot, amely a tényleges kriptovaluta bányászt tartalmazta.
A Stealthy Miner telepítése és folyamatfigyelése
A bányász kivégzését szorosan figyelemmel kísérték, hogy elkerüljék az észlelést. Folyamatosan ellenőrizte a rendszerfigyelő eszközöket, például a Feladatkezelőt ("taskmgr.exe") és a Process Monitort ("procmon.exe"). Ha ezen folyamatok bármelyikét észlelték, a bányászt azonnal leállították, hogy elkerüljék a vizsgálatot.
XMRig Tweaked a szelektív bányászathoz
A művelet középpontjában az XMRig bányász testreszabott változata állt. Csak a legalább nyolc maggal rendelkező CPU-kon aktiválódott, biztosítva, hogy a kompromittált gépek elegendő feldolgozási teljesítménnyel rendelkezzenek a hatékony bányászáshoz. Ezenkívül a támadók ahelyett, hogy nyilvános bányászati készletre hagyatkoznának, saját privát szervert hoztak létre, hogy a bányászatból származó nyereséget kizárólag az infrastruktúrájukba irányítsák.
Az XMRig a beépített funkcióit kihasználva elemezte a parancssori utasításokat, miközben külön szálat tartott fenn az aktív megfigyelőeszközök ellenőrzéséhez. Ez a tartós önvédelmi mechanizmus segített a bányászati tevékenységet rejtve tartani a felhasználó elől.
Rejtélyes fenyegetés orosz nyomokkal
Az akció mértéke és kifinomultsága ellenére az elkövetők kiléte ismeretlen. A kutatók azonban felfedezték a kampány elemeibe ágyazott orosz nyelvű húrokat, amelyek arra utalnak, hogy a támadást egy oroszul beszélő fenyegető szereplő okozhatta.
A StaryDobry kampány rávilágít azokra a kockázatokra, amelyek a nem ellenőrzött forrásból származó szoftverek letöltésével kapcsolatosak. A játéktelepítők csaliként való felhasználásával a kiberbűnözőknek sikerült egy rejtett bányászt telepíteniük, miközben megőrizték lopakodó jelenlétét a feltört rendszereken. Ez az incidens rávilágít az óvatosság fontosságára a szoftver online beszerzésekor, mivel a fenyegetés szereplői továbbra is finomítják megtévesztő taktikájukat.
