StaryDobry tấn công
Người chơi tìm kiếm các trò chơi mô phỏng và dựa trên vật lý phổ biến có thể đã vô tình cài đặt một trình khai thác tiền điện tử ẩn trên hệ thống Windows của họ. Các nhà nghiên cứu an ninh mạng lần đầu tiên phát hiện ra hoạt động quy mô lớn này, có tên mã là StaryDobry, vào cuối tháng 12 năm 2024. Chiến dịch được cho là kéo dài trong khoảng một tháng, xâm nhập vào nhiều máy trên toàn thế giới.
Mục lục
Máy móc hiệu suất cao được khai thác để khai thác
Chiến dịch này chủ yếu nhắm vào cả người dùng cá nhân và doanh nghiệp trên nhiều khu vực, với tỷ lệ lây nhiễm đáng chú ý ở Nga, Brazil, Đức, Belarus và Kazakhstan. Bằng cách tập trung vào các thiết lập chơi game có phần cứng mạnh mẽ, những kẻ tấn công đã tối đa hóa hiệu quả của các hoạt động khai thác bí mật của chúng.
Trò chơi phổ biến được sử dụng làm mồi nhử
Cuộc tấn công dựa vào việc ngụy trang các trình cài đặt đe dọa thành các bản sao hợp pháp của các trò chơi nổi tiếng. Trong số các tựa game được sử dụng làm mồi nhử có BeamNG.drive, Garry's Mod, Dyson Sphere Program, Universe Sandbox và Plutocracy. Những kẻ tấn công đã tải các trình cài đặt trojan này lên các trang web torrent sớm nhất là vào tháng 9 năm 2024, cho thấy rằng hoạt động này đã được lên kế hoạch cẩn thận.
Trình cài đặt bị nhiễm kích hoạt chuỗi tấn công ẩn
Những người dùng không nghi ngờ gì khi tải xuống cái gọi là 'repack' này đã được trình bày với những gì có vẻ là một quy trình cài đặt tiêu chuẩn. Trong quá trình thiết lập, một tệp dropper ẩn ('unrar.dll') đã được triển khai và thực thi trong nền, bắt đầu giai đoạn tiếp theo của quá trình lây nhiễm.
Kỹ thuật né tránh nâng cao trong hành động
Trước khi tiếp tục, dropper đã thực hiện nhiều lần kiểm tra để đảm bảo nó không chạy trong môi trường ảo hóa hoặc hộp cát, chứng minh khả năng trốn tránh tinh vi của nó. Sau đó, nó liên hệ với các dịch vụ bên ngoài như api.myip.com, ip-api.com và ipwho.is để thu thập địa chỉ IP và xác định vị trí của người dùng. Nếu bước này không thành công, hệ thống sẽ được chỉ định vị trí mặc định là Trung Quốc hoặc Belarus vì lý do vẫn chưa rõ ràng.
Một quá trình thực hiện phức tạp nhiều giai đoạn
Sau khi máy đã được lấy dấu vân tay, dropper đã giải mã và thực thi một thành phần khác có tên là 'MTX64.exe.' Tệp thực thi này đã lưu nội dung của nó dưới dạng 'Windows.Graphics.ThumbnailHandler.dll' trong một thư mục hệ thống. Dựa trên một dự án nguồn mở hợp pháp, EpubShellExtThumbnailHandler, tệp thực thi đã sử dụng sai chức năng Windows Shell Extension để tải phần tải trọng sau, 'Kickstarter.'
Thành phần Kickstarter đã trích xuất một blob dữ liệu được mã hóa và ghi nó vào đĩa dưới tên 'Unix.Directory.IconHandler.dll' trong một thư mục ẩn trong thư mục AppData của người dùng. Tệp mới này sau đó đã truy xuất tải trọng giai đoạn cuối từ một máy chủ từ xa, nơi chứa trình khai thác tiền điện tử thực tế.
Triển khai Stealthy Miner và giám sát quy trình
Quá trình thực thi của thợ đào được giám sát chặt chẽ để tránh bị phát hiện. Nó liên tục kiểm tra các công cụ giám sát hệ thống như Task Manager ('taskmgr.exe') và Process Monitor ('procmon.exe'). Nếu phát hiện bất kỳ quy trình nào trong số này, thợ đào sẽ ngay lập tức bị chấm dứt để tránh bị giám sát.
XMRig được tinh chỉnh để khai thác có chọn lọc
Cốt lõi của hoạt động này là phiên bản tùy chỉnh của trình khai thác XMRig . Nó chỉ được kích hoạt trên CPU có ít nhất tám lõi, đảm bảo rằng các máy bị xâm phạm có đủ sức mạnh xử lý để khai thác hiệu quả. Ngoài ra, thay vì dựa vào nhóm khai thác công khai, những kẻ tấn công đã thiết lập máy chủ riêng của chúng để chuyển lợi nhuận khai thác độc quyền vào cơ sở hạ tầng của chúng.
XMRig tận dụng chức năng tích hợp của nó để phân tích các lệnh dòng lệnh trong khi vẫn duy trì một luồng riêng để kiểm tra các công cụ giám sát đang hoạt động. Cơ chế tự vệ liên tục này giúp giữ cho hoạt động khai thác ẩn khỏi người dùng.
Một mối đe dọa bí ẩn với manh mối từ Nga
Mặc dù quy mô và sự tinh vi của hoạt động này, danh tính của thủ phạm vẫn chưa được biết. Tuy nhiên, các nhà nghiên cứu đã phát hiện ra các chuỗi tiếng Nga được nhúng trong các thành phần của chiến dịch, cho thấy cuộc tấn công có thể bắt nguồn từ một tác nhân đe dọa nói tiếng Nga.
Chiến dịch StaryDobry nêu bật những rủi ro liên quan đến việc tải xuống phần mềm từ các nguồn chưa được xác minh. Bằng cách sử dụng trình cài đặt trò chơi làm mồi nhử, tội phạm mạng đã triển khai được một trình khai thác ẩn trong khi vẫn duy trì sự hiện diện bí mật trên các hệ thống bị xâm phạm. Sự cố này nhấn mạnh tầm quan trọng của việc thận trọng khi mua phần mềm trực tuyến vì các tác nhân đe dọa tiếp tục tinh chỉnh các chiến thuật lừa đảo của chúng.
