StaryDobry-aanval
Spelers die op zoek zijn naar populaire simulatie- en fysica-gebaseerde games hebben mogelijk onbewust een verborgen cryptocurrency-miner op hun Windows-systemen geïnstalleerd. Cybersecurity-onderzoekers identificeerden deze grootschalige operatie, codenaam StaryDobry, voor het eerst eind december 2024. De campagne duurde naar verluidt ongeveer een maand en compromitteerde talloze machines wereldwijd.
Inhoudsopgave
Hoogwaardige machines worden gebruikt voor mijnbouw
De campagne richtte zich voornamelijk op zowel individuele gebruikers als bedrijven in meerdere regio's, met opmerkelijke infectiepercentages in Rusland, Brazilië, Duitsland, Wit-Rusland en Kazachstan. Door zich te richten op gaming-opstellingen met krachtige hardware, maximaliseerden de aanvallers de efficiëntie van hun geheime mining-operaties.
Populaire spellen die als lokaas worden gebruikt
De aanval was gebaseerd op het vermommen van bedreigende installers als legitieme kopieën van bekende games. Onder de titels die als lokaas werden gebruikt, waren BeamNG.drive, Garry's Mod, Dyson Sphere Program, Universe Sandbox en Plutocracy. De bedreigende actoren uploadden deze trojanized installers al in september 2024 naar torrentsites, wat aangeeft dat de operatie zorgvuldig was gepland.
Geïnfecteerde installateurs activeren een sluipende aanvalsketen
Nietsvermoedende gebruikers die deze zogenaamde 'repacks' downloadden, kregen te maken met wat een standaard installatieproces leek te zijn. Tijdens de installatie werd een verborgen dropperbestand ('unrar.dll') op de achtergrond geïmplementeerd en uitgevoerd, waarmee de volgende fase van de infectie werd gestart.
Geavanceerde ontwijkingstechnieken in actie
Voordat de dropper verderging, voerde hij meerdere controles uit om er zeker van te zijn dat hij niet in een gevirtualiseerde of sandboxomgeving draaide, wat zijn geavanceerde ontwijkingsmogelijkheden demonstreerde. Vervolgens nam hij contact op met externe services zoals api.myip.com, ip-api.com en ipwho.is om IP-adressen te verzamelen en gebruikerslocaties te bepalen. Als deze stap mislukte, werd aan het systeem een standaardlocatie toegewezen van China of Wit-Rusland om redenen die nog steeds onduidelijk zijn.
Een complex uitvoeringsproces met meerdere fasen
Nadat de machine was gefingerprint, decodeerde en voerde de dropper een ander onderdeel uit met de naam 'MTX64.exe'. Dit uitvoerbare bestand bewaarde de inhoud ervan als 'Windows.Graphics.ThumbnailHandler.dll' in een systeemdirectory. Gebaseerd op een legitiem open-sourceproject, EpubShellExtThumbnailHandler, misbruikte het uitvoerbare bestand de functionaliteit van Windows Shell Extension om de volgende payload te laden, 'Kickstarter.'
Het Kickstarter-onderdeel extraheerde een gecodeerde datablob en schreef deze naar schijf onder de naam 'Unix.Directory.IconHandler.dll' in een verborgen map in de AppData-directory van de gebruiker. Dit nieuwe bestand haalde vervolgens de laatste fase-payload op van een externe server, die de daadwerkelijke cryptocurrency-miner bevatte.
De Stealthy Miner-implementatie en procesbewaking
De uitvoering van de miner werd nauwlettend in de gaten gehouden om detectie te voorkomen. Er werd continu gecontroleerd op systeembewakingstools zoals Task Manager ('taskmgr.exe') en Process Monitor ('procmon.exe'). Als een van deze processen werd gedetecteerd, werd de miner onmiddellijk beëindigd om controle te ontlopen.
XMRig aangepast voor selectieve mijnbouw
De kern van de operatie was een aangepaste versie van de XMRig- miner. Deze werd alleen geactiveerd op CPU's met ten minste acht cores, waardoor de gecompromitteerde machines voldoende verwerkingskracht hadden om efficiënt te minen. Bovendien richtten de aanvallers, in plaats van te vertrouwen op een openbare miningpool, hun eigen privéserver op om de miningwinsten exclusief naar hun infrastructuur te leiden.
XMRig maakte gebruik van de ingebouwde functionaliteit om opdrachtregelinstructies te parseren en tegelijkertijd een aparte thread te onderhouden om te controleren op actieve monitoringtools. Dit persistente zelfverdedigingsmechanisme hielp de miningactiviteit verborgen te houden voor de gebruiker.
Een mysterieuze dreiging met Russische aanwijzingen
Ondanks de omvang en verfijning van de operatie, blijven de identiteiten van de daders onbekend. Onderzoekers ontdekten echter Russischtalige strings die in de componenten van de campagne waren ingebed, wat suggereert dat de aanval afkomstig kan zijn van een Russischtalige bedreigingsactor.
De StaryDobry-campagne benadrukt de risico's die gepaard gaan met het downloaden van software van ongeverifieerde bronnen. Door game-installatieprogramma's als lokaas te gebruiken, slaagden cybercriminelen erin een verborgen miner in te zetten terwijl ze een heimelijke aanwezigheid op gecompromitteerde systemen behielden. Dit incident onderstreept het belang van voorzichtigheid bij het online verkrijgen van software, aangezien dreigingsactoren hun misleidende tactieken blijven verfijnen.
