Attacco di StaryDobry
I giocatori alla ricerca di popolari giochi di simulazione e basati sulla fisica potrebbero aver installato inconsapevolmente un miner di criptovalute nascosto sui loro sistemi Windows. I ricercatori di sicurezza informatica hanno identificato per la prima volta questa operazione su larga scala, nome in codice StaryDobry, a fine dicembre 2024. La campagna sarebbe durata circa un mese, compromettendo numerose macchine in tutto il mondo.
Sommario
Macchine ad alte prestazioni sfruttate per l'attività mineraria
La campagna ha preso di mira principalmente sia singoli utenti che aziende in più regioni, con notevoli tassi di infezione in Russia, Brasile, Germania, Bielorussia e Kazakistan. Concentrandosi su configurazioni di gioco con hardware potente, gli aggressori hanno massimizzato l'efficienza delle loro operazioni di mining segrete.
Giochi popolari usati come esche
L'attacco si basava sul camuffamento di programmi di installazione minacciosi come copie legittime di giochi noti. Tra i titoli usati come esca c'erano BeamNG.drive, Garry's Mod, Dyson Sphere Program, Universe Sandbox e Plutocracy. Gli autori della minaccia hanno caricato questi programmi di installazione trojanizzati su siti torrent già a settembre 2024, il che indica che l'operazione era stata attentamente premeditata.
Gli installatori infetti innescano una catena di attacchi furtivi
Gli utenti ignari che hanno scaricato questi cosiddetti "repack" si sono trovati di fronte a quello che sembrava essere un processo di installazione standard. Durante la configurazione, un file dropper nascosto ('unrar.dll') è stato distribuito ed eseguito in background, avviando la fase successiva dell'infezione.
Tecniche di evasione avanzate in azione
Prima di procedere, il dropper ha eseguito più controlli per assicurarsi di non essere in esecuzione in un ambiente virtualizzato o sandbox, dimostrando le sue sofisticate capacità di evasione. Ha quindi contattato servizi esterni come api.myip.com, ip-api.com e ipwho.is per raccogliere indirizzi IP e determinare le posizioni degli utenti. Se questo passaggio falliva, al sistema veniva assegnata una posizione predefinita in Cina o Bielorussia per motivi che rimangono poco chiari.
Un processo di esecuzione complesso in più fasi
Una volta che la macchina è stata sottoposta all'impronta digitale, il dropper ha decriptato ed eseguito un altro componente denominato 'MTX64.exe'. Questo eseguibile ha salvato il suo contenuto come 'Windows.Graphics.ThumbnailHandler.dll' in una directory di sistema. Basato su un legittimo progetto open source, EpubShellExtThumbnailHandler, l'eseguibile ha utilizzato in modo improprio la funzionalità di estensione shell di Windows per caricare il seguente payload, 'Kickstarter'.
Il componente Kickstarter ha estratto un blob di dati crittografati e lo ha scritto su disco con il nome 'Unix.Directory.IconHandler.dll' in una cartella nascosta all'interno della directory AppData dell'utente. Questo nuovo file ha quindi recuperato il payload della fase finale da un server remoto, che conteneva l'effettivo miner di criptovaluta.
Distribuzione e monitoraggio dei processi di Stealthy Miner
L'esecuzione del miner è stata attentamente monitorata per evitare di essere rilevata. Ha controllato costantemente gli strumenti di monitoraggio del sistema come Task Manager ('taskmgr.exe') e Process Monitor ('procmon.exe'). Se uno di questi processi veniva rilevato, il miner veniva immediatamente terminato per eludere l'esame.
XMRig ottimizzato per il mining selettivo
Al centro dell'operazione c'era una versione personalizzata del miner XMRig . Si attivava solo su CPU con almeno otto core, assicurando che le macchine compromesse avessero una potenza di elaborazione sufficiente per estrarre in modo efficiente. Inoltre, invece di affidarsi a un pool di mining pubblico, gli aggressori hanno creato un proprio server privato per indirizzare i profitti del mining esclusivamente alla loro infrastruttura.
XMRig ha sfruttato la sua funzionalità integrata per analizzare le istruzioni della riga di comando, mantenendo al contempo un thread separato per verificare la presenza di strumenti di monitoraggio attivi. Questo meccanismo di autodifesa persistente ha contribuito a mantenere nascosta all'utente l'attività di mining.
Una minaccia misteriosa con indizi russi
Nonostante la portata e la complessità dell'operazione, l'identità degli autori rimane sconosciuta. Tuttavia, i ricercatori hanno scoperto stringhe in lingua russa incorporate nei componenti della campagna, il che suggerisce che l'attacco potrebbe essere stato originato da un autore di minacce di lingua russa.
La campagna StaryDobry evidenzia i rischi associati al download di software da fonti non verificate. Sfruttando gli installer di giochi come esca, i criminali informatici sono riusciti a distribuire un miner nascosto mantenendo una presenza furtiva sui sistemi compromessi. Questo incidente sottolinea l'importanza della cautela quando si acquista software online, poiché gli attori della minaccia continuano ad affinare le loro tattiche ingannevoli.
