స్టారీడోబ్రీ దాడి

ప్రసిద్ధ సిమ్యులేషన్ మరియు ఫిజిక్స్ ఆధారిత గేమ్‌ల కోసం వెతుకుతున్న ఆటగాళ్ళు తెలియకుండానే వారి విండోస్ సిస్టమ్‌లలో దాచిన క్రిప్టోకరెన్సీ మైనర్‌ను ఇన్‌స్టాల్ చేసి ఉండవచ్చు. సైబర్‌ సెక్యూరిటీ పరిశోధకులు మొదట డిసెంబర్ 2024 చివరిలో స్టారీడోబ్రీ అనే కోడ్‌నేమ్‌తో ఈ పెద్ద-స్థాయి ఆపరేషన్‌ను గుర్తించారు. ఈ ప్రచారం దాదాపు ఒక నెల పాటు కొనసాగిందని, ప్రపంచవ్యాప్తంగా అనేక యంత్రాలను రాజీ పడేశాయని తెలుస్తోంది.

మైనింగ్ కోసం ఉపయోగించే అధిక-పనితీరు గల యంత్రాలు

ఈ ప్రచారం ప్రధానంగా రష్యా, బ్రెజిల్, జర్మనీ, బెలారస్ మరియు కజకిస్తాన్‌లలో గుర్తించదగిన ఇన్ఫెక్షన్ రేట్లతో బహుళ ప్రాంతాలలోని వ్యక్తిగత వినియోగదారులు మరియు వ్యాపారాలను లక్ష్యంగా చేసుకుంది. శక్తివంతమైన హార్డ్‌వేర్‌తో గేమింగ్ సెటప్‌లపై దృష్టి పెట్టడం ద్వారా, దాడి చేసేవారు వారి రహస్య మైనింగ్ కార్యకలాపాల సామర్థ్యాన్ని పెంచుకున్నారు.

ఎరలుగా ఉపయోగించే ప్రసిద్ధ ఆటలు

ఈ దాడి బెదిరింపు ఇన్‌స్టాలర్‌లను ప్రసిద్ధ గేమ్‌ల చట్టబద్ధమైన కాపీలుగా దాచిపెట్టడంపై ఆధారపడింది. ఎరగా ఉపయోగించిన శీర్షికలలో BeamNG.drive, Garry's Mod, Dyson Sphere Program, Universe Sandbox మరియు Plutocracy ఉన్నాయి. బెదిరింపు నటులు ఈ ట్రోజనైజ్డ్ ఇన్‌స్టాలర్‌లను సెప్టెంబర్ 2024 నాటికే టొరెంట్ సైట్‌లకు అప్‌లోడ్ చేశారు, ఇది ఆపరేషన్ జాగ్రత్తగా ముందస్తుగా ప్రణాళిక వేయబడిందని సూచిస్తుంది.

ఇన్‌ఫెక్ట్ అయిన ఇన్‌స్టాలర్‌లు ఒక రహస్య దాడి గొలుసును ప్రేరేపిస్తాయి.

ఈ 'రీప్యాక్‌లు' అని పిలవబడే వాటిని డౌన్‌లోడ్ చేసుకున్న సందేహించని వినియోగదారులకు ప్రామాణిక ఇన్‌స్టాలేషన్ ప్రక్రియ వలె కనిపించేది అందించబడింది. సెటప్ సమయంలో, దాచిన డ్రాపర్ ఫైల్ ('unrar.dll') నేపథ్యంలో అమలు చేయబడి అమలు చేయబడుతుంది, ఇది ఇన్ఫెక్షన్ యొక్క తదుపరి దశను ప్రారంభిస్తుంది.

అధునాతన ఎగవేత పద్ధతులు చర్యలో ఉన్నాయి

కొనసాగడానికి ముందు, డ్రాపర్ వర్చువలైజ్డ్ లేదా శాండ్‌బాక్స్డ్ వాతావరణంలో పనిచేయడం లేదని నిర్ధారించుకోవడానికి బహుళ తనిఖీలను నిర్వహించింది, దాని అధునాతన ఎగవేత సామర్థ్యాలను ప్రదర్శించింది. ఆ తర్వాత అది IP చిరునామాలను సేకరించి వినియోగదారు స్థానాలను నిర్ణయించడానికి api.myip.com, ip-api.com మరియు ipwho.is వంటి బాహ్య సేవలను సంప్రదించింది. ఈ దశ విఫలమైతే, అస్పష్టంగా ఉన్న కారణాల వల్ల సిస్టమ్‌కు చైనా లేదా బెలారస్ యొక్క డిఫాల్ట్ స్థానం కేటాయించబడింది.

సంక్లిష్టమైన బహుళ-దశల అమలు ప్రక్రియ

యంత్రం వేలిముద్ర వేసిన తర్వాత, డ్రాపర్ 'MTX64.exe' అనే మరొక భాగాన్ని డీక్రిప్ట్ చేసి అమలు చేసింది. ఈ ఎక్జిక్యూటబుల్ దాని కంటెంట్‌లను 'Windows.Graphics.ThumbnailHandler.dll' గా సిస్టమ్ డైరెక్టరీలో సేవ్ చేసింది. చట్టబద్ధమైన ఓపెన్-సోర్స్ ప్రాజెక్ట్, EpubShellExtThumbnailHandler ఆధారంగా, ఎక్జిక్యూటబుల్ కింది పేలోడ్, 'Kickstarter' ను లోడ్ చేయడానికి Windows Shell Extension కార్యాచరణను దుర్వినియోగం చేసింది.

కిక్‌స్టార్టర్ కాంపోనెంట్ ఒక ఎన్‌క్రిప్టెడ్ డేటా బ్లాబ్‌ను సంగ్రహించి, దానిని యూజర్ యొక్క AppData డైరెక్టరీలోని దాచిన ఫోల్డర్‌లో 'Unix.Directory.IconHandler.dll' పేరుతో డిస్క్‌కి రాసింది. ఈ కొత్త ఫైల్ అసలు క్రిప్టోకరెన్సీ మైనర్‌ను కలిగి ఉన్న రిమోట్ సర్వర్ నుండి చివరి దశ పేలోడ్‌ను తిరిగి పొందింది.

స్టెల్తీ మైనర్ డిప్లాయ్‌మెంట్ మరియు ప్రాసెస్ మానిటరింగ్

గుర్తింపును నివారించడానికి మైనర్ యొక్క అమలును నిశితంగా పరిశీలించారు. ఇది టాస్క్ మేనేజర్ ('taskmgr.exe') మరియు ప్రాసెస్ మానిటర్ ('procmon.exe') వంటి సిస్టమ్ పర్యవేక్షణ సాధనాల కోసం నిరంతరం తనిఖీ చేసింది. ఈ ప్రక్రియలలో ఏదైనా కనుగొనబడితే, పరిశీలన నుండి తప్పించుకోవడానికి మైనర్‌ను వెంటనే తొలగించారు.

సెలెక్టివ్ మైనింగ్ కోసం XMRig సర్దుబాటు చేయబడింది

ఈ ఆపరేషన్ యొక్క ప్రధాన అంశం XMRig మైనర్ యొక్క అనుకూలీకరించిన వెర్షన్. ఇది కనీసం ఎనిమిది కోర్లతో కూడిన CPUలలో మాత్రమే యాక్టివేట్ చేయబడింది, రాజీపడిన యంత్రాలు సమర్థవంతంగా మైనింగ్ చేయడానికి తగినంత ప్రాసెసింగ్ శక్తిని కలిగి ఉన్నాయని నిర్ధారిస్తుంది. అదనంగా, పబ్లిక్ మైనింగ్ పూల్‌పై ఆధారపడటానికి బదులుగా, దాడి చేసేవారు మైనింగ్ లాభాలను ప్రత్యేకంగా వారి మౌలిక సదుపాయాలకు మళ్ళించడానికి వారి స్వంత ప్రైవేట్ సర్వర్‌ను ఏర్పాటు చేసుకున్నారు.

XMRig దాని అంతర్నిర్మిత కార్యాచరణను ఉపయోగించి కమాండ్-లైన్ సూచనలను అన్వయించింది, అదే సమయంలో యాక్టివ్ మానిటరింగ్ టూల్స్ కోసం తనిఖీ చేయడానికి ప్రత్యేక థ్రెడ్‌ను నిర్వహించింది. ఈ నిరంతర స్వీయ-రక్షణ విధానం మైనింగ్ కార్యకలాపాలను వినియోగదారు నుండి దాచి ఉంచడంలో సహాయపడింది.

రష్యన్ ఆధారాలతో ఒక రహస్య ముప్పు

ఆపరేషన్ యొక్క స్థాయి మరియు అధునాతనత ఉన్నప్పటికీ, నేరస్థుల గుర్తింపులు ఇంకా తెలియలేదు. అయితే, ప్రచార భాగాలలో రష్యన్ భాషా స్ట్రింగ్‌లను పరిశోధకులు కనుగొన్నారు, ఈ దాడి రష్యన్ మాట్లాడే బెదిరింపు నాయకుడి నుండి ఉద్భవించి ఉండవచ్చని సూచిస్తున్నారు.

StaryDobry ప్రచారం ధృవీకరించని మూలాల నుండి సాఫ్ట్‌వేర్‌ను డౌన్‌లోడ్ చేయడం వల్ల కలిగే నష్టాలను హైలైట్ చేస్తుంది. గేమ్ ఇన్‌స్టాలర్‌లను ఎరగా ఉపయోగించుకోవడం ద్వారా, సైబర్ నేరస్థులు రాజీపడిన సిస్టమ్‌లలో రహస్య ఉనికిని కొనసాగిస్తూ దాచిన మైనర్‌ను మోహరించగలిగారు. బెదిరింపు నటులు తమ మోసపూరిత వ్యూహాలను మెరుగుపరుస్తూనే ఉన్నందున ఆన్‌లైన్‌లో సాఫ్ట్‌వేర్‌ను పొందేటప్పుడు జాగ్రత్త వహించడం యొక్క ప్రాముఖ్యతను ఈ సంఘటన నొక్కి చెబుతుంది.