StaryDobry Attack
Spelare som söker efter populära simulerings- och fysikbaserade spel kan omedvetet ha installerat en dold kryptovaluta-gruvarbetare på sina Windows-system. Cybersäkerhetsforskare identifierade först denna storskaliga operation, med kodnamnet StaryDobry, i slutet av december 2024. Kampanjen pågick enligt uppgift i ungefär en månad och kompromissade många maskiner över hela världen.
Innehållsförteckning
Högpresterande maskiner som utnyttjas för gruvdrift
Kampanjen riktade sig främst till både enskilda användare och företag i flera regioner, med anmärkningsvärda infektionsfrekvenser i Ryssland, Brasilien, Tyskland, Vitryssland och Kazakstan. Genom att fokusera på speluppsättningar med kraftfull hårdvara maximerade angriparna effektiviteten i sina hemliga gruvdrifter.
Populära spel som används som lockar
Attacken förlitade sig på att maskera hotfulla installatörer som legitima kopior av välkända spel. Bland titlarna som användes som bete fanns BeamNG.drive, Garry's Mod, Dyson Sphere Program, Universe Sandbox och Plutocracy. Hotaktörerna laddade upp dessa trojaniserade installatörer till torrentsajter redan i september 2024, vilket indikerar att operationen var noggrant överlagd.
Infekterade installatörer utlöser en smygande attackkedja
Intet ont ont anande användare som laddade ner dessa så kallade "ompackningar" presenterades för vad som verkade vara en standardinstallationsprocess. Under installationen distribuerades en dold dropper-fil ('unrar.dll') och kördes i bakgrunden, vilket initierade nästa steg av infektionen.
Avancerade undanflyktstekniker i aktion
Innan den fortsatte utförde dropparen flera kontroller för att säkerställa att den inte kördes i en virtualiserad eller sandlådemiljö, vilket demonstrerade dess sofistikerade flyktförmåga. Den kontaktade sedan externa tjänster som api.myip.com, ip-api.com och ipwho.is för att samla in IP-adresser och fastställa användarplatser. Om detta steg misslyckades tilldelades systemet en standardplats för Kina eller Vitryssland av skäl som fortfarande är oklara.
En komplex exekveringsprocess i flera steg
När maskinen väl hade tagits fingeravtryck, dekrypterade droppern och körde en annan komponent som heter 'MTX64.exe.' Den här körbara filen sparade sitt innehåll som 'Windows.Graphics.ThumbnailHandler.dll' i en systemkatalog. Baserat på ett legitimt projekt med öppen källkod, EpubShellExtThumbnailHandler, missbrukade den körbara Windows Shell Extension-funktionaliteten för att ladda följande nyttolast, 'Kickstarter'.
Kickstarter-komponenten extraherade en krypterad dataklump och skrev den till disken under namnet 'Unix.Directory.IconHandler.dll' i en dold mapp i användarens AppData-katalog. Den här nya filen hämtade sedan nyttolasten i slutskedet från en fjärrserver, som innehöll den faktiska gruvarbetaren för kryptovaluta.
The Stealthy Miner Deployment and Process Monitoring
Gruvarbetarens avrättning övervakades noga för att undvika upptäckt. Den kollade kontinuerligt efter systemövervakningsverktyg som Task Manager ('takmgr.exe') och Process Monitor ('procmon.exe'). Om någon av dessa processer upptäcktes, avslutades gruvarbetaren omedelbart för att undvika granskning.
XMRig Tweaked för selektiv gruvdrift
Kärnan i verksamheten var en anpassad version av XMRig- gruvarbetaren. Den aktiverades bara på processorer med minst åtta kärnor, vilket säkerställde att de komprometterade maskinerna hade tillräcklig processorkraft för att bryta effektivt. Dessutom, istället för att förlita sig på en offentlig gruvpool, satte angriparna upp sin egen privata server för att direkt rikta gruvvinster till deras infrastruktur.
XMRig utnyttjade sin inbyggda funktionalitet för att analysera kommandoradsinstruktioner samtidigt som den bibehöll en separat tråd för att söka efter aktiva övervakningsverktyg. Denna ihållande självförsvarsmekanism hjälpte till att hålla gruvaktiviteten dold för användaren.
Ett mystiskt hot med ryska ledtrådar
Trots insatsens omfattning och sofistikerade är gärningsmännens identitet fortfarande okänd. Men forskare upptäckte ryskspråkiga strängar inbäddade i kampanjens komponenter, vilket tyder på att attacken kan ha sitt ursprung från en rysktalande hotaktör.
StaryDobry-kampanjen belyser riskerna med att ladda ner programvara från overifierade källor. Genom att utnyttja spelinstallatörer som lockbete, lyckades cyberbrottslingar distribuera en dold gruvarbetare samtidigt som de behöll en smyg närvaro på komprometterade system. Denna incident understryker vikten av att vara försiktig när du skaffar programvara online eftersom hotaktörer fortsätter att förfina sin vilseledande taktik.
