СтарыйДобрый Атака
Игроки, ищущие популярные симуляторы и игры на основе физики, могли неосознанно установить скрытый майнер криптовалюты на свои системы Windows. Исследователи кибербезопасности впервые обнаружили эту крупномасштабную операцию под кодовым названием StaryDobry в конце декабря 2024 года. Сообщается, что кампания длилась около месяца, скомпрометировав множество машин по всему миру.
Оглавление
Высокопроизводительные машины, используемые в горнодобывающей промышленности
Кампания была в первую очередь нацелена как на отдельных пользователей, так и на предприятия в нескольких регионах, с заметными показателями заражения в России, Бразилии, Германии, Беларуси и Казахстане. Сосредоточившись на игровых установках с мощным оборудованием, злоумышленники максимально повысили эффективность своих тайных майнинговых операций.
Популярные игры, используемые в качестве приманки
Атака основывалась на маскировке опасных установщиков под легитимные копии известных игр. Среди названий, используемых в качестве приманки, были BeamNG.drive, Garry's Mod, Dyson Sphere Program, Universe Sandbox и Plutocracy. Злоумышленники загрузили эти троянизированные установщики на торрент-сайты еще в сентябре 2024 года, что указывает на то, что операция была тщательно спланирована.
Зараженные установщики запускают скрытую цепочку атак
Ничего не подозревающим пользователям, которые загружали эти так называемые «репаки», предлагалось то, что выглядело как стандартный процесс установки. Во время установки был развернут и запущен в фоновом режиме скрытый файл-дроппер («unrar.dll»), что инициировало следующую стадию заражения.
Продвинутые методы уклонения в действии
Прежде чем продолжить, дроппер выполнил несколько проверок, чтобы убедиться, что он не запущен в виртуализированной или изолированной среде, продемонстрировав свои сложные возможности уклонения. Затем он связался с внешними службами, такими как api.myip.com, ip-api.com и ipwho.is, чтобы собрать IP-адреса и определить местоположение пользователей. Если этот шаг не удавался, системе по причинам, которые остаются неясными, назначалось местоположение по умолчанию в Китае или Беларуси.
Сложный многоэтапный процесс исполнения
После того, как машина была отпечатана, дроппер расшифровал и выполнил другой компонент с именем 'MTX64.exe'. Этот исполняемый файл сохранил свое содержимое как 'Windows.Graphics.ThumbnailHandler.dll' в системном каталоге. Основываясь на легитимном проекте с открытым исходным кодом EpubShellExtThumbnailHandler, исполняемый файл неправильно использовал функциональность Windows Shell Extension для загрузки следующей полезной нагрузки 'Kickstarter.'
Компонент Kickstarter извлек зашифрованный блок данных и записал его на диск под именем «Unix.Directory.IconHandler.dll» в скрытой папке в каталоге AppData пользователя. Затем этот новый файл извлек полезную нагрузку финальной стадии с удаленного сервера, который содержал фактический майнер криптовалюты.
Развертывание скрытого майнера и мониторинг процесса
Выполнение майнера тщательно отслеживалось, чтобы избежать обнаружения. Он постоянно проверял наличие системных инструментов мониторинга, таких как диспетчер задач ('taskmgr.exe') и монитор процессов ('procmon.exe'). Если обнаруживался любой из этих процессов, майнер немедленно завершался, чтобы избежать проверки.
XMRig, настроенный для селективного майнинга
В основе операции лежала кастомизированная версия майнера XMRig . Он активировался только на процессорах с не менее чем восемью ядрами, гарантируя, что скомпрометированные машины будут иметь достаточную вычислительную мощность для эффективного майнинга. Кроме того, вместо того, чтобы полагаться на публичный майнинговый пул, злоумышленники создали свой собственный частный сервер, чтобы направлять прибыль от майнинга исключительно в свою инфраструктуру.
XMRig использовал встроенную функциональность для анализа командных строковых инструкций, поддерживая при этом отдельный поток для проверки активных инструментов мониторинга. Этот постоянный механизм самозащиты помог скрыть майнинговую активность от пользователя.
Таинственная угроза с российскими подсказками
Несмотря на масштаб и сложность операции, личности преступников остаются неизвестными. Однако исследователи обнаружили русскоязычные строки, встроенные в компоненты кампании, что позволяет предположить, что атака могла исходить от русскоязычного злоумышленника.
Кампания StaryDobry подчеркивает риски, связанные со скачиванием ПО из непроверенных источников. Используя установщики игр в качестве приманки, киберпреступники сумели внедрить скрытый майнер, сохраняя при этом скрытое присутствие на скомпрометированных системах. Этот инцидент подчеркивает важность осторожности при приобретении ПО онлайн, поскольку злоумышленники продолжают совершенствовать свои обманные тактики.
