Sulmi StaryDobry
Lojtarët që kërkojnë lojëra të njohura simuluese dhe të bazuara në fizikë mund të kenë instaluar pa vetëdije një minator të fshehur të kriptomonedhave në sistemet e tyre Windows. Studiuesit e sigurisë kibernetike identifikuan për herë të parë këtë operacion në shkallë të gjerë, të koduar StaryDobry, në fund të dhjetorit 2024. Fushata thuhet se zgjati për rreth një muaj, duke kompromentuar makina të shumta në mbarë botën.
Tabela e Përmbajtjes
Makina me performancë të lartë të shfrytëzuara për miniera
Fushata synoi kryesisht përdoruesit individualë dhe bizneset në rajone të shumta, me shkallë të dukshme të infeksionit në Rusi, Brazil, Gjermani, Bjellorusi dhe Kazakistan. Duke u fokusuar në konfigurimet e lojërave me pajisje të fuqishme, sulmuesit maksimizuan efikasitetin e operacioneve të tyre të fshehta të minierave.
Lojëra popullore të përdorura si joshje
Sulmi u mbështet në maskimin e instaluesve kërcënues si kopje legjitime të lojërave të njohura. Ndër titujt e përdorur si karrem ishin BeamNG.drive, Garry's Mod, Dyson Sphere Program, Universe Sandbox dhe Plutocracy. Aktorët e kërcënimit ngarkuan këta instalues të trojanizuar në faqet e torrenteve që në shtator 2024, duke treguar se operacioni ishte i paramenduar me kujdes.
Instaluesit e infektuar nxisin një zinxhir sulmi të fshehtë
Përdoruesit që nuk dyshojnë që kanë shkarkuar këto të ashtuquajtura 'ripaketime' janë paraqitur me atë që dukej të ishte një proces standard instalimi. Gjatë konfigurimit, një skedar dropper i fshehur ('unrar.dll') u vendos dhe u ekzekutua në sfond, duke filluar fazën tjetër të infeksionit.
Teknikat e avancuara të evazionit në veprim
Përpara se të vazhdonte, pikatori kreu kontrolle të shumta për t'u siguruar që nuk po funksiononte në një mjedis të virtualizuar ose me sandbox, duke demonstruar aftësitë e tij të sofistikuara evazioni. Më pas kontaktoi shërbime të jashtme si api.myip.com, ip-api.com dhe ipwho.is për të mbledhur adresat IP dhe për të përcaktuar vendndodhjet e përdoruesve. Nëse ky hap dështoi, sistemit iu caktua një vendndodhje e paracaktuar e Kinës ose Bjellorusisë për arsye që mbeten të paqarta.
Një proces kompleks ekzekutimi me shumë faza
Pasi makina u mor shenjat e gishtave, pikatori deshifroi dhe ekzekutoi një komponent tjetër të quajtur 'MTX64.exe.' Ky ekzekutues ruajti përmbajtjen e tij si "Windows.Graphics.ThumbnailHandler.dll" në një direktori të sistemit. Bazuar në një projekt legjitim me burim të hapur, EpubShellExtThumbnailHandler, ekzekutuesi keqpërdor funksionin e Windows Shell Extension për të ngarkuar ngarkesën e mëposhtme, 'Kickstarter'.
Komponenti Kickstarter nxori një blob të dhënash të koduar dhe e shkroi atë në disk me emrin 'Unix.Directory.IconHandler.dll' në një dosje të fshehur brenda drejtorisë AppData të përdoruesit. Ky skedar i ri më pas mori ngarkesën e fazës së fundit nga një server në distancë, i cili përmbante minatorin aktual të kriptomonedhës.
Vendosja e Minatorëve të Vjerë dhe Monitorimi i Procesit
Ekzekutimi i minatorit u monitorua nga afër për të shmangur zbulimin. Ai kontrollonte vazhdimisht për mjetet e monitorimit të sistemit si Task Manager ('taskmgr.exe') dhe Process Monitor ('procmon.exe'). Nëse zbulohej ndonjë nga këto procese, minatori mbyllej menjëherë për t'iu shmangur shqyrtimit.
XMRig u modifikua për minierat selektive
Në thelb të operacionit ishte një version i personalizuar i minatorit XMRig . Ai aktivizohej vetëm në CPU me të paktën tetë bërthama, duke siguruar që makinat e komprometuara të kishin fuqi të mjaftueshme përpunimi për të minuar në mënyrë efikase. Për më tepër, në vend që të mbështeteshin në një pishinë publike të minierave, sulmuesit krijuan serverin e tyre privat për të drejtuar fitimet e minierave ekskluzivisht në infrastrukturën e tyre.
XMRig përdori funksionalitetin e tij të integruar për të analizuar udhëzimet e linjës së komandës duke mbajtur një fije të veçantë për të kontrolluar mjetet aktive të monitorimit. Ky mekanizëm i vazhdueshëm i vetëmbrojtjes ndihmoi që aktiviteti i minierave të mbahej i fshehur nga përdoruesi.
Një kërcënim misterioz me të dhëna ruse
Pavarësisht përmasave dhe sofistikimit të operacionit, identiteti i autorëve mbetet i panjohur. Megjithatë, studiuesit zbuluan vargje në gjuhën ruse të ngulitura brenda komponentëve të fushatës, duke sugjeruar se sulmi mund të ketë origjinën nga një aktor kërcënimi rusisht-folës.
Fushata StaryDobry thekson rreziqet që lidhen me shkarkimin e softuerit nga burime të paverifikuara. Duke përdorur instaluesit e lojërave si karrem, kriminelët kibernetikë arritën të vendosin një minator të fshehur duke mbajtur një prani të fshehtë në sistemet e komprometuara. Ky incident nënvizon rëndësinë e kujdesit kur blini softuer në internet pasi aktorët e kërcënimit vazhdojnë të përsosin taktikat e tyre mashtruese.
