Cotație de reducere pentru licențe multiple
Baza de date pentru amenințări Programe malware Atacul StaryDobry

Atacul StaryDobry

Până în Mezo în Programe malware
Tradu in:
Română

Jucătorii care caută jocuri populare bazate pe simulare și fizică ar putea să fi instalat, fără să știe, un miner de criptomonede ascuns pe sistemele lor Windows. Cercetătorii în securitate cibernetică au identificat pentru prima dată această operațiune la scară largă, cu numele de cod StaryDobry, la sfârșitul lunii decembrie 2024. Campania a durat aproximativ o lună, compromițând numeroase mașini din întreaga lume.

Mașini de înaltă performanță exploatate pentru minerit

Campania a vizat în primul rând atât utilizatorii individuali, cât și companiile din mai multe regiuni, cu rate notabile de infectare în Rusia, Brazilia, Germania, Belarus și Kazahstan. Concentrându-se pe setările de jocuri cu hardware puternic, atacatorii și-au maximizat eficiența operațiunilor miniere sub acoperire.

Jocuri populare folosite ca momeli

Atacul s-a bazat pe deghizarea instalatorilor amenințători ca copii legitime ale unor jocuri binecunoscute. Printre titlurile folosite ca momeală au fost BeamNG.drive, Garry's Mod, Dyson Sphere Program, Universe Sandbox și Plutocracy. Actorii amenințărilor au încărcat aceste programe de instalare troiene pe site-uri de torrent încă din septembrie 2024, indicând faptul că operațiunea a fost atent premeditată.

Instalatorii infectați declanșează un lanț de atac ascuns

Utilizatorii nebănuiți care au descărcat aceste așa-numite „repachete” au fost prezentate cu ceea ce părea a fi un proces standard de instalare. În timpul instalării, un fișier dropper ascuns („unrar.dll”) a fost implementat și executat în fundal, inițiind următoarea etapă a infecției.

Tehnici avansate de evaziune în acțiune

Înainte de a continua, dropperul a efectuat mai multe verificări pentru a se asigura că nu rulează într-un mediu virtualizat sau sandbox, demonstrând capabilitățile sale sofisticate de evaziune. Apoi a contactat servicii externe precum api.myip.com, ip-api.com și ipwho.is pentru a aduna adrese IP și a determina locațiile utilizatorilor. Dacă acest pas nu a reușit, sistemului i s-a atribuit o locație implicită din China sau Belarus din motive care rămân neclare.

Un proces complex de execuție în mai multe etape

Odată ce mașina a fost luată amprenta, dropper-ul a decriptat și a executat o altă componentă numită „MTX64.exe”. Acest executabil și-a salvat conținutul ca „Windows.Graphics.ThumbnailHandler.dll” într-un director de sistem. Pe baza unui proiect open-source legitim, EpubShellExtThumbnailHandler, executabilul a folosit greșit funcționalitatea Windows Shell Extension pentru a încărca următoarea sarcină utilă, „Kickstarter”.

Componenta Kickstarter a extras un blob de date criptate și l-a scris pe disc sub numele „Unix.Directory.IconHandler.dll” într-un folder ascuns din directorul AppData al utilizatorului. Acest nou fișier a preluat apoi sarcina utilă din etapa finală de la un server la distanță, care conținea minerul real de criptomonede.

Implementarea minerului ascuns și monitorizarea procesului

Execuția minerului a fost atent monitorizată pentru a evita depistarea. A verificat continuu instrumentele de monitorizare a sistemului, cum ar fi Task Manager („taskmgr.exe”) și Process Monitor („procmon.exe”). Dacă oricare dintre aceste procese a fost detectat, minerul a fost imediat oprit pentru a se sustrage controlului.

XMRig ajustat pentru minerit selectiv

La baza operațiunii a fost o versiune personalizată a minerului XMRig . S-a activat doar pe procesoarele cu cel puțin opt nuclee, asigurându-se că mașinile compromise aveau suficientă putere de procesare pentru a extrage eficient. În plus, în loc să se bazeze pe un pool de minerit public, atacatorii și-au configurat propriul server privat pentru a direcționa profiturile miniere exclusiv către infrastructura lor.

XMRig și-a folosit funcționalitatea încorporată pentru a analiza instrucțiunile din linia de comandă, menținând în același timp un fir separat pentru a verifica instrumentele de monitorizare active. Acest mecanism persistent de autoapărare a ajutat la menținerea activității miniere ascunse de utilizator.

O amenințare misterioasă cu indicii rusești

În ciuda amplorii și rafinamentului operațiunii, identitățile făptuitorilor rămân necunoscute. Cu toate acestea, cercetătorii au descoperit șiruri de caractere în limba rusă încorporate în componentele campaniei, sugerând că atacul ar fi putut proveni de la un actor de amenințare vorbitor de limbă rusă.

Campania StaryDobry evidențiază riscurile asociate cu descărcarea de software din surse neverificate. Folosind instalatorii de jocuri ca momeală, infractorii cibernetici au reușit să implementeze un miner ascuns, menținând în același timp o prezență ascunsă pe sistemele compromise. Acest incident subliniază importanța prudenței atunci când achiziționează software online, deoarece actorii amenințărilor continuă să-și perfecționeze tacticile înșelătoare.

Trending

Cele mai văzute

Ferestre pop-up „Dacă aveți 18 ani Atingeți Permite”.

Mesaje de avertizare false
24,163
Ferestrele pop-up „Dacă aveți 18 ani Atingeți Permite” sunt un tip de anunț pop-up care apare pe ecranul unui utilizator când navighează pe internet. Aceste ferestre pop-up pot fi destul de alarmante pentru utilizatori, deoarece îi îndeamnă să facă clic pe butonul „permite” pentru a continua să folosească site-ul web pe care se află în prezent. Aceste ferestre pop-up sunt asociate cu programe...
Se încarcă...