ஸ்டேரிடோப்ரி தாக்குதல்
பிரபலமான உருவகப்படுத்துதல் மற்றும் இயற்பியல் சார்ந்த விளையாட்டுகளைத் தேடும் வீரர்கள், தங்கள் விண்டோஸ் கணினிகளில் ஒரு மறைக்கப்பட்ட கிரிப்டோகரன்சி மைனரை அறியாமலேயே நிறுவியிருக்கலாம். சைபர் பாதுகாப்பு ஆராய்ச்சியாளர்கள் முதன்முதலில் டிசம்பர் 2024 இன் பிற்பகுதியில் StaryDobry என்ற குறியீட்டுப் பெயரிடப்பட்ட இந்த பெரிய அளவிலான செயல்பாட்டை அடையாளம் கண்டனர். இந்த பிரச்சாரம் சுமார் ஒரு மாதம் நீடித்ததாகவும், உலகளவில் ஏராளமான இயந்திரங்களை சேதப்படுத்தியதாகவும் கூறப்படுகிறது.
பொருளடக்கம்
சுரங்கத்திற்காகப் பயன்படுத்தப்படும் உயர் செயல்திறன் கொண்ட இயந்திரங்கள்
இந்த பிரச்சாரம் முதன்மையாக பல பிராந்தியங்களில் உள்ள தனிப்பட்ட பயனர்கள் மற்றும் வணிகங்களை இலக்காகக் கொண்டது, ரஷ்யா, பிரேசில், ஜெர்மனி, பெலாரஸ் மற்றும் கஜகஸ்தான் ஆகிய நாடுகளில் குறிப்பிடத்தக்க தொற்று விகிதங்கள் இருந்தன. சக்திவாய்ந்த வன்பொருள் கொண்ட கேமிங் அமைப்புகளில் கவனம் செலுத்துவதன் மூலம், தாக்குபவர்கள் தங்கள் இரகசிய சுரங்க நடவடிக்கைகளின் செயல்திறனை அதிகப்படுத்தினர்.
கவர்ச்சியாகப் பயன்படுத்தப்படும் பிரபலமான விளையாட்டுகள்
இந்த தாக்குதல், அச்சுறுத்தும் நிறுவிகளை நன்கு அறியப்பட்ட விளையாட்டுகளின் சட்டப்பூர்வ நகல்களாக மறைப்பதை நம்பியிருந்தது. தூண்டில் பயன்படுத்தப்பட்ட தலைப்புகளில் BeamNG.drive, Garry's Mod, Dyson Sphere Program, Universe Sandbox மற்றும் Plutocracy ஆகியவை அடங்கும். அச்சுறுத்தல் நடிகர்கள் இந்த ட்ரோஜனைஸ் செய்யப்பட்ட நிறுவிகளை செப்டம்பர் 2024 ஆம் ஆண்டிலேயே டொரண்ட் தளங்களில் பதிவேற்றினர், இது இந்த நடவடிக்கை கவனமாக திட்டமிடப்பட்டது என்பதைக் குறிக்கிறது.
பாதிக்கப்பட்ட நிறுவிகள் ஒரு திருட்டுத்தனமான தாக்குதல் சங்கிலியைத் தூண்டுகின்றன.
இந்த 'ரீபேக்குகள்' என்று அழைக்கப்படுவதைப் பதிவிறக்கிய சந்தேகத்திற்கு இடமில்லாத பயனர்களுக்கு ஒரு நிலையான நிறுவல் செயல்முறை போல் தோன்றியது. அமைப்பின் போது, ஒரு மறைக்கப்பட்ட டிராப்பர் கோப்பு ('unrar.dll') பின்னணியில் பயன்படுத்தப்பட்டு செயல்படுத்தப்பட்டது, இது தொற்றுநோயின் அடுத்த கட்டத்தைத் தொடங்கியது.
செயல்பாட்டில் மேம்பட்ட ஏய்ப்பு நுட்பங்கள்
தொடர்வதற்கு முன், டிராப்பர் மெய்நிகராக்கப்பட்ட அல்லது சாண்ட்பாக்ஸ் செய்யப்பட்ட சூழலில் இயங்கவில்லை என்பதை உறுதிப்படுத்த பல சோதனைகளைச் செய்து, அதன் அதிநவீன ஏய்ப்பு திறன்களைக் காட்டியது. பின்னர் அது IP முகவரிகளைச் சேகரித்து பயனர் இருப்பிடங்களைத் தீர்மானிக்க api.myip.com, ip-api.com மற்றும் ipwho.is போன்ற வெளிப்புற சேவைகளைத் தொடர்பு கொண்டது. இந்தப் படி தோல்வியுற்றால், தெளிவாகத் தெரியாத காரணங்களுக்காக அமைப்புக்கு சீனா அல்லது பெலாரஸின் இயல்புநிலை இருப்பிடம் ஒதுக்கப்பட்டது.
ஒரு சிக்கலான பல-நிலை செயல்படுத்தல் செயல்முறை
இயந்திரம் கைரேகை பதிவு செய்யப்பட்டவுடன், டிராப்பர் 'MTX64.exe' என்ற மற்றொரு கூறுகளை மறைகுறியாக்கி செயல்படுத்தியது. இந்த இயங்கக்கூடியது அதன் உள்ளடக்கங்களை 'Windows.Graphics.ThumbnailHandler.dll' என ஒரு கணினி கோப்பகத்தில் சேமித்தது. ஒரு முறையான திறந்த மூல திட்டமான EpubShellExtThumbnailHandler ஐ அடிப்படையாகக் கொண்டு, இயங்கக்கூடியது பின்வரும் பேலோடான 'Kickstarter' ஐ ஏற்ற Windows Shell Extension செயல்பாட்டை தவறாகப் பயன்படுத்தியது.
கிக்ஸ்டார்ட்டர் கூறு ஒரு மறைகுறியாக்கப்பட்ட தரவு குமிழியைப் பிரித்தெடுத்து, பயனரின் AppData கோப்பகத்தில் உள்ள ஒரு மறைக்கப்பட்ட கோப்புறையில் 'Unix.Directory.IconHandler.dll' என்ற பெயரில் வட்டில் எழுதியது. பின்னர் இந்தப் புதிய கோப்பு, உண்மையான கிரிப்டோகரன்சி மைனரைக் கொண்ட தொலைதூர சேவையகத்திலிருந்து இறுதி-நிலை பேலோடை மீட்டெடுத்தது.
திருட்டுத்தனமான சுரங்கப் பணியமர்த்தல் மற்றும் செயல்முறை கண்காணிப்பு
கண்டறிதலைத் தவிர்ப்பதற்காக சுரங்கத் தொழிலாளியின் செயல்பாடு உன்னிப்பாகக் கண்காணிக்கப்பட்டது. பணி மேலாளர் ('taskmgr.exe') மற்றும் செயல்முறை கண்காணிப்பு ('procmon.exe') போன்ற கணினி கண்காணிப்பு கருவிகளை இது தொடர்ந்து சோதித்தது. இந்த செயல்முறைகளில் ஏதேனும் ஒன்று கண்டறியப்பட்டால், ஆய்வைத் தவிர்க்க சுரங்கத் தொழிலாளி உடனடியாக நிறுத்தப்பட்டார்.
தேர்ந்தெடுக்கப்பட்ட சுரங்கத்திற்காக XMRig மாற்றப்பட்டது
இந்த செயல்பாட்டின் மையத்தில் XMRig மைனரின் தனிப்பயனாக்கப்பட்ட பதிப்பு இருந்தது. இது குறைந்தது எட்டு கோர்களைக் கொண்ட CPU களில் மட்டுமே செயல்படுத்தப்பட்டது, சமரசம் செய்யப்பட்ட இயந்திரங்கள் திறமையாக சுரங்கப்படுத்த போதுமான செயலாக்க சக்தியைக் கொண்டிருப்பதை உறுதி செய்தது. கூடுதலாக, ஒரு பொது சுரங்கக் குழுவை நம்புவதற்குப் பதிலாக, தாக்குபவர்கள் சுரங்க லாபத்தை தங்கள் உள்கட்டமைப்பிற்கு மட்டுமே செலுத்த தங்கள் சொந்த தனியார் சேவையகத்தை அமைத்தனர்.
XMRig அதன் உள்ளமைக்கப்பட்ட செயல்பாட்டைப் பயன்படுத்தி கட்டளை வரி வழிமுறைகளை அலசியது, அதே நேரத்தில் செயலில் உள்ள கண்காணிப்பு கருவிகளைச் சரிபார்க்க ஒரு தனி நூலைப் பராமரித்தது. இந்த தொடர்ச்சியான சுய-பாதுகாப்பு பொறிமுறையானது சுரங்க செயல்பாட்டை பயனரிடமிருந்து மறைக்க உதவியது.
ரஷ்ய துப்புகளுடன் ஒரு மர்ம அச்சுறுத்தல்
இந்த நடவடிக்கையின் அளவு மற்றும் நுட்பம் இருந்தபோதிலும், குற்றவாளிகளின் அடையாளங்கள் தெரியவில்லை. இருப்பினும், பிரச்சாரத்தின் கூறுகளுக்குள் ரஷ்ய மொழி சரங்கள் பதிக்கப்பட்டிருப்பதை ஆராய்ச்சியாளர்கள் கண்டுபிடித்தனர், இது தாக்குதல் ரஷ்ய மொழி பேசும் அச்சுறுத்தல் நபரிடமிருந்து தோன்றியிருக்கலாம் என்று கூறுகிறது.
சரிபார்க்கப்படாத மூலங்களிலிருந்து மென்பொருளைப் பதிவிறக்குவதால் ஏற்படும் அபாயங்களை StaryDobry பிரச்சாரம் எடுத்துக்காட்டுகிறது. விளையாட்டு நிறுவிகளை தூண்டில் போலப் பயன்படுத்துவதன் மூலம், சைபர் குற்றவாளிகள் ஒரு மறைக்கப்பட்ட சுரங்கத் தொழிலாளியைப் பயன்படுத்த முடிந்தது, அதே நேரத்தில் சமரசம் செய்யப்பட்ட அமைப்புகளில் ஒரு திருட்டுத்தனமான இருப்பைப் பராமரிக்க முடிந்தது. அச்சுறுத்தல் நடிகர்கள் தங்கள் ஏமாற்று தந்திரங்களைத் தொடர்ந்து செம்மைப்படுத்துவதால், ஆன்லைனில் மென்பொருளைப் பெறும்போது எச்சரிக்கையின் முக்கியத்துவத்தை இந்த சம்பவம் அடிக்கோடிட்டுக் காட்டுகிறது.
