Ataque StaryDobry: la amenaza que explota a los entusiastas de los videojuegos
Table of Contents
Un plan engañoso dirigido a los jugadores
El ataque StaryDobry es una campaña a gran escala que aprovechó la popularidad de los videojuegos de simulación y basados en la física para infiltrarse en sistemas con un minero de criptomonedas oculto. Detectada el 31 de diciembre de 2024, esta operación duró un mes y afectó a usuarios de varios países, incluidos Rusia, Brasil, Alemania, Bielorrusia y Kazajistán.
Los cibercriminales que estaban detrás de este ataque se aprovecharon de las personas que buscaban descargas gratuitas de juegos distribuyendo archivos de instalación infectados en plataformas de torrent. Los archivos infectados se hacían pasar por copias legítimas de juegos populares como BeamNG.drive , Garry's Mod, Dyson Sphere Program , Universe Sandbox y Plutocracy , y engañaban a los usuarios desprevenidos para que instalaran software malicioso.
Explotación de sistemas de alto rendimiento
El objetivo principal de la campaña StaryDobry era implementar un programa de minería de criptomonedas en las máquinas Windows infectadas. El minero elegido, XMRig , es ampliamente conocido por su capacidad de aprovechar los recursos del sistema para la minería de Monero, una criptomoneda preferida por los cibercriminales debido a su énfasis en el anonimato.
El objetivo de los entusiastas de los juegos fue una decisión estratégica, ya que las PC para juegos suelen tener procesadores potentes capaces de soportar operaciones de minería prolongadas. Para maximizar la eficiencia, el minero solo se activó en máquinas con al menos ocho núcleos de CPU, lo que garantiza un rendimiento óptimo y evita la detección en dispositivos menos capaces.
Una estrategia de ataque de múltiples capas
El proceso de infección comenzó con instaladores de juegos manipulados creados con Inno Setup. Estos instaladores se subieron a plataformas de torrents en septiembre de 2024, lo que sugiere una campaña bien planificada diseñada para llegar a una amplia audiencia.
Una vez que los usuarios ejecutaban el instalador, se extraía y ejecutaba discretamente un archivo de instalación llamado unrar.dll . Este archivo empleaba técnicas avanzadas para evadir la detección, verificando si estaba funcionando en un entorno de depuración o en un entorno aislado antes de continuar.
Tras eludir los controles de seguridad, el malware recuperaba la dirección IP del usuario y calculaba su ubicación geográfica a través de servicios externos. Si este paso fallaba, la ubicación del sistema se establecía automáticamente en China o Bielorrusia, aunque el motivo de esta opción no está claro.
Técnicas de infiltración y evasión en sistemas profundos
Tras reunir información preliminar, el ataque prosiguió descifrando otro ejecutable, MTX64.exe . Este componente se había escrito en el sistema con el nombre Windows.Graphics.ThumbnailHandler.dll y se había integrado con la funcionalidad de extensión de Windows Shell.
A partir de este punto, se introdujo una capa adicional de ejecución. Una carga secundaria denominada Kickstarter extrajo un archivo cifrado y lo guardó en Unix.Directory.IconHandler.dll dentro de la carpeta de credenciales móviles del sistema. Este archivo facilitó la comunicación con un servidor de comandos remoto, que entregó la carga útil de la etapa final: el implante minero en sí.
Para garantizar su persistencia y evitar su detección, el malware monitorizaba continuamente los procesos del sistema y se detenía automáticamente si se detectaban el administrador de tareas ( taskmgr.exe ) o las herramientas de monitorización de procesos ( procmon.exe ). Estas técnicas de evasión reducían significativamente la probabilidad de que el software de seguridad detectara la operación.
Una operación minera personalizada
En lugar de conectarse a un pool de minería público, los atacantes optaron por alojar su propia infraestructura de minería. Este enfoque les permitió mantener un mayor control sobre la operación y ocultar las transacciones financieras vinculadas a la actividad minera ilícita.
Una vez activado, el minero ejecutaba comandos predefinidos para iniciar la minería de criptomonedas, dirigiendo los recursos informáticos hacia la generación de Monero. Para evitar una exposición innecesaria, incluía una función de monitoreo incorporada que detenía las operaciones si se detectaban herramientas de análisis de seguridad.
Implicaciones del ataque
La campaña StaryDobry destaca los riesgos asociados con la descarga de software de fuentes no oficiales. Si bien la consecuencia inmediata para las víctimas fue el uso no autorizado de recursos informáticos, la actividad de minería prolongada podría degradar el rendimiento del sistema, aumentar el consumo de energía y acortar la vida útil del hardware.
Para las empresas, la presencia de software de minería no autorizado podría afectar la productividad, elevar los costos de electricidad y exponer las redes a amenazas adicionales si los atacantes deciden expandir sus operaciones más allá de las actividades mineras.
Atribución y preguntas abiertas
Se desconoce la identidad de los responsables del ataque a StaryDobry. Si bien se encontraron pruebas del uso del idioma ruso en las muestras de malware, no se ha establecido un vínculo definitivo que conecte la campaña con grupos cibercriminales conocidos.
Este incidente nos recuerda que los actores de amenazas siguen perfeccionando sus métodos, empleando técnicas de engaño y evasión para comprometer sistemas en todo el mundo. La capacidad de infiltrarse en dispositivos a través de descargas de juegos aparentemente inofensivas pone de relieve el panorama cambiante de las amenazas digitales, lo que refuerza la importancia de la concienciación sobre ciberseguridad tanto entre los usuarios como entre las organizaciones.
