Gebruikers die op zoek zijn naar populaire games werden gelokt in het downloaden van Trojanised -installateurs die hebben geleid tot de implementatie van een cryptocurrency -mijnwerker op gecompromitteerde Windows -hosts.
De grootschalige activiteit is gecodeerd Starydobry door het Russische cybersecuritybedrijf Kaspersky, dat het voor het eerst ontdekte op 31 december 2024. Het duurde een maand.
Doelstellingen van de campagne omvatten individuen en bedrijven wereldwijd, waarbij Kaspersky’s telemetrie hogere infectieconcentraties vindt in Rusland, Brazilië, Duitsland, Wit -Rusland en Kazachstan.
“Deze aanpak hielp de dreigingsacteurs het meeste uit het mijnwerkimplantaat te halen door zich te richten op krachtige gamemachines die mijnbouwactiviteiten kunnen behouden,” zeiden onderzoekers Tatyana Shishkova en Kirill Korchemny in een analyse die dinsdag werd gepubliceerd.
De Xmrig Cryptocurrency Miner -campagne maakt gebruik van populaire simulator- en fysica -games zoals Beamng.Drive, Garry’s Mod, Dyson Sphere -programma, Universe Sandbox en Plutocracy als kunstaas om een verfijnde aanvalsketen te initiëren.
Dit omvat het uploaden van vergiftigde game -installateurs die zijn gemaakt met Inno Setup op verschillende torrent -sites in september 2024, wat aangeeft dat de niet -geïdentificeerde dreigingsacteurs achter de campagne de aanvallen zorgvuldig hadden gepland.
Gebruikers die uiteindelijk deze releases downloaden, ook wel “repacks” genoemd, krijgen een installateursscherm dat hen aanspoort om door te gaan met het installatieproces, waarbij een druppelaar (“unrar.dll”) wordt geëxtraheerd en uitgevoerd.
Het DLL -bestand gaat alleen door na het uitvoeren van een reeks cheques om te bepalen of het in een debugging- of sandbox -omgeving wordt uitgevoerd, een demonstratie van het zeer ontwijkende gedrag.
Vervolgens peilt het verschillende sites zoals API.Myip (.) Com, IP-API (.) Com en IPWHO (.) Het verkrijgen van het IP-adres van de gebruiker en het schatten van hun locatie. Als het in deze stap faalt, wordt het land in gebreke gebleven op China of Wit -Rusland om redenen die niet helemaal duidelijk zijn.
De volgende fase omvat het verzamelen van een vingerafdruk van de machine, het decoderen van een ander uitvoerbaar bestand (“MTX64.exe”) en het schrijven van de inhoud naar een bestand op schijf met de naam “Windows.Graphics.thumbnailhandler.dll” in de %SystemRoot %of %SystemRoot % Sysnatieve map.
Gebaseerd op een legitiem open-source project genaamd EpubshelThumbnailHandler, wijzigt MTX64 de Windows Shell Extension Thumbnail-handlerfunctionaliteit voor zijn eigen winst door een volgende fase payload te laden, een draagbaar uitvoerbare naam met de naam Kickstarter dat vervolgens een gecodeerde blob-ingebed erin uitpakt.
De blob is, zoals in de vorige stap, naar schijf geschreven onder de naam “unix.directory.iconhandler.dll” in de map%AppData roaming Microsoft Credentials %InstallDate%.
De nieuw gemaakte DLL is geconfigureerd om het binair getal op het laatste podium op te halen van een externe server die verantwoordelijk is voor het uitvoeren van het Miner-implantaat, terwijl hij ook continu controleert op TaskMgr.exe en Procmon.exe in de lijst met lopende processen. Het artefact wordt onmiddellijk beëindigd als een van de processen wordt gedetecteerd.
De mijnwerker is een enigszins aangepaste versie van XMRIG die een vooraf gedefinieerde opdrachtregel gebruikt om het mijnbouwproces te initiëren op machines met CPU’s met 8 of meer cores.
“Als er minder dan 8 zijn, begint de mijnwerker niet”, zeiden de onderzoekers. “Bovendien koos de aanvaller ervoor om een mijnbouwpoolserver te hosten in hun eigen infrastructuur in plaats van een openbare te gebruiken.”
“Xmrig parseert de geconstrueerde opdrachtregel met behulp van de ingebouwde functionaliteit. De mijnwerker maakt ook een afzonderlijke thread om te controleren op procesmonitors die in het systeem worden uitgevoerd, met dezelfde methode als in de vorige fase.”
Starydobry blijft niet toegewijd, gezien het ontbreken van indicatoren die het kunnen koppelen aan bekende Crimware -acteurs. Dat gezegd hebbende, de aanwezigheid van Russische taalreeksen in de monsters verwijst naar de mogelijkheid van een Russisch sprekende dreigingsacteur.
