СтариДобри Аттацк
Играчи који траже популарне игре засноване на симулацији и физици можда су несвесно инсталирали скривени рудар криптовалута на својим Виндовс системима. Истраживачи сајбер безбедности први пут су идентификовали ову операцију великих размера, под кодним називом СтариДобри, крајем децембра 2024. Кампања је наводно трајала око месец дана, компромитујући бројне машине широм света.
Преглед садржаја
Машине високих перформанси које се користе за рударство
Кампања је првенствено била усмерена на појединачне кориснике и предузећа у више региона, са значајним стопама инфекције у Русији, Бразилу, Немачкој, Белорусији и Казахстану. Фокусирајући се на подешавања игара са моћним хардвером, нападачи су максимизирали ефикасност својих тајних рударских операција.
Популарне игре које се користе као мамци
Напад се ослањао на прикривање претећих инсталатера као легитимне копије добро познатих игара. Међу насловима који су коришћени као мамац били су БеамНГ.дриве, Гарри'с Мод, Дисон Спхере Програм, Универсе Сандбок и Плутоцраци. Актери претњи су отпремили ове тројанизоване инсталатере на торрент сајтове још у септембру 2024. године, што указује да је операција пажљиво смишљена.
Заражени инсталатери покрећу прикривени ланац напада
Несуђени корисници који су преузели ове такозване 'репакове' добили су нешто што је изгледало као стандардни процес инсталације. Током подешавања, скривени дроппер фајл ('унрар.длл') је распоређен и извршен у позадини, што је започело следећу фазу инфекције.
Напредне технике избегавања у акцији
Пре него што је наставио, дроппер је извршио више провера како би се уверио да не ради у виртуелизованом или заштићеном окружењу, демонстрирајући своје софистициране могућности избегавања. Затим је контактирао спољне услуге као што су апи.миип.цом, ип-апи.цом и ипвхо.ис да прикупи ИП адресе и одреди локацију корисника. Ако овај корак није успео, систему је додељена подразумевана локација Кина или Белорусија из разлога који остају нејасни.
Сложен вишестепени процес извршења
Када је машина узета отиском прста, капалица је дешифровала и извршила другу компоненту под називом „МТКС64.еке“. Овај извршни фајл је сачувао свој садржај као 'Виндовс.Грапхицс.ТхумбнаилХандлер.длл' у системском директоријуму. Засновано на легитимном пројекту отвореног кода, ЕпубСхеллЕктТхумбнаилХандлер, извршна датотека је злоупотребила функционалност Виндовс Схелл Ектенсион за учитавање следећег корисног оптерећења, „Кицкстартер“.
Кицкстартер компонента је издвојила шифровани блоб података и записала га на диск под именом „Уник.Дирецтори.ИцонХандлер.длл“ у скривеној фасцикли унутар корисничког АппДата директоријума. Ова нова датотека је затим преузела корисни терет завршне фазе са удаљеног сервера, који је садржао стварни рудар криптовалуте.
Тхе Стеалтхи Минер имплементација и праћење процеса
Погубљење рудара је пажљиво праћено како би се избегло откривање. Непрекидно је проверавао алате за надзор система као што су Таск Манагер ('таскмгр.еке') и Процесс Монитор ('процмон.еке'). Ако је било који од ових процеса откривен, рудар је одмах прекинут како би избегао контролу.
КСМРиг је подешен за селективно рударење
У основи операције била је прилагођена верзија КСМРиг рудара. Активирао се само на ЦПУ-има са најмање осам језгара, осигуравајући да компромитоване машине имају довољну процесорску снагу за ефикасно рударење. Поред тога, уместо да се ослањају на јавни рударски скуп, нападачи постављају сопствени приватни сервер да усмеравају профит од рударења искључиво на своју инфраструктуру.
КСМРиг је искористио своју уграђену функционалност за рашчлањивање инструкција командне линије док је одржавао засебну нит за проверу активних алата за праћење. Овај упорни механизам самоодбране помогао је да рударска активност остане скривена од корисника.
Тајанствена претња са руским траговима
Упркос обиму и софистицираности операције, идентитет починилаца остаје непознат. Међутим, истраживачи су открили низове на руском језику уграђене у компоненте кампање, што сугерише да је напад можда потекао од претњи који говоре руски.
Кампања СтариДобри наглашава ризике повезане са преузимањем софтвера из непроверених извора. Користећи инсталатере игара као мамац, сајбер-криминалци су успели да примене скривеног рудара док су одржавали скривено присуство на компромитованим системима. Овај инцидент наглашава важност опреза приликом куповине софтвера на мрежи, јер актери претњи настављају да усавршавају своје тактике обмањивања.
