StaryDobry Attack
Os jogadores que buscam jogos de simulação populares e baseados em física podem ter instalado, sem saber, um minerador de cripto-moedas oculto em seus sistemas Windows. Pesquisadores de segurança cibernética identificaram pela primeira vez essa operação em larga escala, codinome StaryDobry, no final de dezembro de 2024. A campanha supostamente durou cerca de um mês, comprometendo inúmeras máquinas em todo o mundo.
Índice
Máquinas de Alto Desempenho Exploradas para Mineração
A campanha teve como alvo principal usuários individuais e empresas em várias regiões, com taxas de infecção notáveis na Rússia, Brasil, Alemanha, Bielorrússia e Cazaquistão. Ao focar em configurações de jogos com hardware poderoso, os invasores maximizaram a eficiência de suas operações secretas de mineração.
Jogos Populares Usados como Iscas
O ataque contou com o disfarce de instaladores ameaçadores como cópias legítimas de jogos conhecidos. Entre os títulos usados como isca estavam BeamNG.drive, Garry's Mod, Dyson Sphere Program, Universe Sandbox e Plutocracy. Os agentes da ameaça carregaram esses instaladores trojanizados para sites de torrent já em setembro de 2024, indicando que a operação foi cuidadosamente premeditada.
Instaladores Infectados Desencadeiam uma Cadeia de Ataques Furtivos
Usuários desavisados que baixaram esses chamados 'repacks' foram apresentados ao que parecia ser um processo de instalação padrão. Durante a configuração, um arquivo dropper oculto ('unrar.dll') foi implantado e executado em segundo plano, iniciando o próximo estágio da infecção.
Técnicas Avançadas de Evasão em Ação
Antes de prosseguir, o dropper realizou várias verificações para garantir que não estava sendo executado em um ambiente virtualizado ou em sandbox, demonstrando suas sofisticadas capacidades de evasão. Em seguida, ele contatou serviços externos como api.myip.com, ip-api.com e ipwho.is para coletar endereços IP e determinar os locais dos usuários. Se essa etapa falhasse, o sistema recebia um local padrão da China ou Belarus por razões que permanecem obscuras.
Um Complexo Processo de Execução em Vários Estágios
Depois que a máquina foi identificada, o dropper descriptografou e executou outro componente chamado 'MTX64.exe.' Este executável salvou seu conteúdo como 'Windows.Graphics.ThumbnailHandler.dll' em um diretório do sistema. Com base em um projeto legítimo de código aberto, EpubShellExtThumbnailHandler, o executável usou indevidamente a funcionalidade do Windows Shell Extension para carregar o seguinte payload, 'Kickstarter.'
O componente Kickstarter extraiu um blob de dados criptografados e o gravou no disco sob o nome 'Unix.Directory.IconHandler.dll' em uma pasta oculta dentro do diretório AppData do usuário. Este novo arquivo então recuperou a carga útil do estágio final de um servidor remoto, que continha o minerador de cripto-moeda real.
A Implantação e o Monitoramento de Processos do Stealthy Miner
A execução do minerador era monitorada de perto para evitar detecção. Ele verificava continuamente ferramentas de monitoramento do sistema como o Gerenciador de Tarefas ('taskmgr.exe') e o Monitor de Processos ('procmon.exe'). Se qualquer um desses processos fosse detectado, o minerador era imediatamente encerrado para evitar escrutínio.
O XMRig Ajustado para uma Mineração Seletiva
No centro da operação estava uma versão personalizada do minerador XMRig . Ele só era ativado em CPUs com pelo menos oito núcleos, garantindo que as máquinas comprometidas tivessem poder de processamento suficiente para minerar com eficiência. Além disso, em vez de depender de um pool de mineração público, os invasores configuraram seu próprio servidor privado para direcionar os lucros da mineração exclusivamente para sua infraestrutura.
O XMRig alavancou sua funcionalidade interna para analisar instruções de linha de comando enquanto mantinha um thread separado para verificar ferramentas de monitoramento ativas. Esse mecanismo persistente de autodefesa ajudou a manter a atividade de mineração oculta do usuário.
Uma Ameaça Misteriosa com Pistas Russas
Apesar da escala e sofisticação da operação, as identidades dos perpetradores permanecem desconhecidas. No entanto, pesquisadores descobriram strings em russo embutidas nos componentes da campanha, sugerindo que o ataque pode ter se originado de um ator de ameaça de língua russa.
A campanha StaryDobry destaca os riscos associados ao download de software de fontes não verificadas. Ao alavancar instaladores de jogos como isca, os cibercriminosos conseguiram implantar um minerador oculto enquanto mantinham uma presença furtiva em sistemas comprometidos. Este incidente ressalta a importância da cautela ao adquirir software online, pois os agentes de ameaças continuam a refinar suas táticas enganosas.
