StaryDobry angrep
Spillere som søker etter populære simulerings- og fysikkbaserte spill kan ubevisst ha installert en skjult kryptovaluta-gruvearbeider på Windows-systemene sine. Cybersikkerhetsforskere identifiserte først denne storskalaoperasjonen, kodenavnet StaryDobry, i slutten av desember 2024. Kampanjen skal ha vart i omtrent en måned, og kompromitterte mange maskiner over hele verden.
Innholdsfortegnelse
Høyytelsesmaskiner utnyttet til gruvedrift
Kampanjen var først og fremst rettet mot både individuelle brukere og bedrifter på tvers av flere regioner, med bemerkelsesverdige infeksjonsrater i Russland, Brasil, Tyskland, Hviterussland og Kasakhstan. Ved å fokusere på spilloppsett med kraftig maskinvare, maksimerte angriperne effektiviteten av deres skjulte gruveoperasjoner.
Populære spill som brukes som lokker
Angrepet var avhengig av å skjule truende installatører som legitime kopier av kjente spill. Blant titlene som ble brukt som agn var BeamNG.drive, Garry's Mod, Dyson Sphere Program, Universe Sandbox og Plutocracy. Trusselaktørene lastet opp disse trojaniserte installatørene til torrentsider allerede i september 2024, noe som indikerte at operasjonen var nøye overlagt.
Infiserte installatører utløser en snikende angrepskjede
Intetanende brukere som lastet ned disse såkalte "ompakkene" ble presentert for det som så ut til å være en standard installasjonsprosess. Under oppsettet ble en skjult dropper-fil ('unrar.dll') distribuert og kjørt i bakgrunnen, og startet neste fase av infeksjonen.
Avanserte unnvikelsesteknikker i aksjon
Før du fortsetter, utførte dropperen flere kontroller for å sikre at den ikke kjørte i et virtualisert eller sandkassemiljø, og demonstrerte dens sofistikerte unnvikelsesevner. Den kontaktet deretter eksterne tjenester som api.myip.com, ip-api.com og ipwho.is for å samle IP-adresser og finne brukerplasseringer. Hvis dette trinnet mislyktes, ble systemet tildelt en standardplassering for Kina eller Hviterussland av årsaker som fortsatt er uklare.
En kompleks flertrinns utførelsesprosess
Når maskinen ble tatt med fingeravtrykk, dekrypterte dropperen og utførte en annen komponent kalt 'MTX64.exe.' Denne kjørbare filen lagret innholdet som 'Windows.Graphics.ThumbnailHandler.dll' i en systemkatalog. Basert på et legitimt åpen kildekode-prosjekt, EpubShellExtThumbnailHandler, misbrukte den kjørbare Windows Shell Extension-funksjonaliteten for å laste følgende nyttelast, 'Kickstarter.'
Kickstarter-komponenten hentet ut en kryptert dataklump og skrev den til disk under navnet 'Unix.Directory.IconHandler.dll' i en skjult mappe i brukerens AppData-katalog. Denne nye filen hentet deretter nyttelasten i siste fase fra en ekstern server, som inneholdt den faktiske kryptovalutagruvearbeideren.
The Stealthy Miner-distribusjon og prosessovervåking
Gruvearbeiderens henrettelse ble nøye overvåket for å unngå oppdagelse. Den sjekket kontinuerlig for systemovervåkingsverktøy som Task Manager ('takmgr.exe') og Process Monitor ('procmon.exe'). Hvis en av disse prosessene ble oppdaget, ble gruvearbeideren umiddelbart avsluttet for å unngå gransking.
XMRig tilpasset for selektiv gruvedrift
I kjernen av operasjonen var en tilpasset versjon av XMRig- gruvearbeideren. Den ble bare aktivert på prosessorer med minst åtte kjerner, og sikret at de kompromitterte maskinene hadde tilstrekkelig prosessorkraft til å utvinne effektivt. I tillegg, i stedet for å stole på et offentlig gruvebasseng, satte angriperne opp sin egen private server for å direkte gruvefortjeneste eksklusivt til deres infrastruktur.
XMRig utnyttet sin innebygde funksjonalitet til å analysere kommandolinjeinstruksjoner mens de opprettholdt en egen tråd for å se etter aktive overvåkingsverktøy. Denne vedvarende selvforsvarsmekanismen bidro til å holde gruveaktiviteten skjult for brukeren.
En mystisk trussel med russiske ledetråder
Til tross for omfanget og raffinementet til operasjonen, er gjerningsmennenes identitet fortsatt ukjent. Imidlertid oppdaget forskere russiskspråklige strenger innebygd i kampanjens komponenter, noe som tyder på at angrepet kan ha sin opprinnelse fra en russisktalende trusselaktør.
StaryDobry-kampanjen fremhever risikoen forbundet med nedlasting av programvare fra ubekreftede kilder. Ved å bruke spillinstallatører som lokkemiddel, klarte nettkriminelle å distribuere en skjult gruvearbeider mens de opprettholdt en snikende tilstedeværelse på kompromitterte systemer. Denne hendelsen understreker viktigheten av å være forsiktig når du anskaffer programvare på nettet, ettersom trusselaktører fortsetter å avgrense sin villedende taktikk.
