L'attaque de StaryDobry : la menace qui exploite les amateurs de jeux vidéo
Table of Contents
Un stratagème trompeur ciblant les joueurs
L'attaque StaryDobry est une campagne à grande échelle qui a exploité la popularité des jeux vidéo basés sur la simulation et la physique pour infiltrer des systèmes avec un mineur de cryptomonnaie caché. Détectée le 31 décembre 2024, cette opération a duré un mois et a touché des utilisateurs dans plusieurs pays, dont la Russie, le Brésil, l'Allemagne, la Biélorussie et le Kazakhstan.
Les cybercriminels à l'origine de cette attaque ont profité des personnes cherchant à télécharger des jeux gratuits en distribuant des fichiers d'installation compromis sur des plateformes torrent. Les fichiers infectés se faisaient passer pour des copies légitimes de jeux populaires tels que BeamNG.drive , Garry's Mod, Dyson Sphere Program , Universe Sandbox et Plutocracy , incitant les utilisateurs sans méfiance à installer des logiciels malveillants.
Exploiter les systèmes à hautes performances
L'objectif principal de la campagne StaryDobry était de déployer un programme de minage de cryptomonnaie sur des machines Windows infectées. Le mineur choisi, XMRig , est largement connu pour sa capacité à exploiter les ressources du système pour le minage de Monero, une cryptomonnaie privilégiée par les cybercriminels en raison de l'importance qu'elle accorde à l'anonymat.
Cibler les passionnés de jeux était une décision stratégique, car les PC de jeu disposent généralement de processeurs puissants capables de supporter des opérations de minage prolongées. Pour maximiser l'efficacité, le mineur n'est activé que sur les machines dotées d'au moins huit cœurs de processeur, garantissant des performances optimales tout en évitant la détection sur les appareils moins performants.
Une stratégie d’attaque à plusieurs niveaux
Le processus d'infection a commencé avec des installateurs de jeux manipulés, créés à l'aide d'Inno Setup. Ces installateurs ont été téléchargés sur des plateformes torrent dès septembre 2024, ce qui suggère une campagne bien planifiée conçue pour atteindre un large public.
Une fois que les utilisateurs ont lancé le programme d'installation, un fichier dropper nommé unrar.dll a été extrait et exécuté discrètement. Ce fichier a utilisé des techniques avancées pour échapper à la détection, en vérifiant s'il fonctionnait dans un environnement de débogage ou sandbox avant de continuer.
Après avoir contourné les contrôles de sécurité, le malware récupérait l'adresse IP de l'utilisateur et estimait sa position géographique via des services externes. Si cette étape échouait, la position du système était automatiquement définie sur la Chine ou la Biélorussie, bien que la raison derrière ce repli reste floue.
Techniques d'infiltration et d'évasion des systèmes profonds
Après avoir recueilli des informations préliminaires, l'attaque a progressé en décryptant un autre exécutable, MTX64.exe . Ce composant a été écrit sur le système sous le nom Windows.Graphics.ThumbnailHandler.dll et intégré à la fonctionnalité Windows Shell Extension.
À partir de ce point, une couche d'exécution supplémentaire a été introduite. Une charge utile secondaire nommée Kickstarter a extrait un fichier chiffré et l'a enregistré sous Unix.Directory.IconHandler.dll dans le dossier d'informations d'identification itinérantes du système. Ce fichier a facilité la communication avec un serveur de commande distant, qui a livré la charge utile de l'étape finale : l'implant de mineur lui-même.
Pour garantir sa persistance et éviter d'être détecté, le logiciel malveillant surveillait en permanence les processus système, s'arrêtant automatiquement si le gestionnaire de tâches ( taskmgr.exe ) ou les outils de surveillance des processus ( procmon.exe ) étaient détectés. Ces techniques d'évasion ont considérablement réduit la probabilité que les logiciels de sécurité signalent l'opération.
Une exploitation minière sur mesure
Au lieu de se connecter à un pool de minage public, les attaquants ont choisi d'héberger leur propre infrastructure de minage. Cette approche leur a permis de conserver un meilleur contrôle sur l'opération et de dissimuler les transactions financières liées à l'activité minière illicite.
Une fois activé, le mineur exécutait des commandes prédéfinies pour lancer l'extraction de cryptomonnaies, dirigeant les ressources informatiques vers la génération de Monero. Pour éviter toute exposition inutile, il incluait une fonction de surveillance intégrée qui interrompait les opérations si des outils d'analyse de sécurité étaient détectés.
Conséquences de l’attaque
La campagne StaryDobry souligne les risques associés au téléchargement de logiciels provenant de sources non officielles. Si la conséquence immédiate pour les victimes est l'utilisation non autorisée des ressources informatiques, une activité de minage prolongée peut dégrader les performances du système, augmenter la consommation d'énergie et réduire la durée de vie du matériel.
Pour les entreprises, la présence de logiciels miniers non autorisés pourrait perturber la productivité, augmenter les coûts d’électricité et exposer les réseaux à des menaces supplémentaires si les attaquants décidaient d’étendre leurs opérations au-delà des activités minières.
Attribution et questions ouvertes
L'identité des auteurs de l'attaque StaryDobry reste inconnue. Bien que des traces de l'utilisation de la langue russe aient été trouvées dans les échantillons de malware, aucun lien définitif n'a été établi reliant la campagne à des groupes cybercriminels connus.
Cet incident nous rappelle que les acteurs malveillants continuent d’affiner leurs méthodes, en employant des techniques de tromperie et d’évasion pour compromettre les systèmes du monde entier. La capacité d’infiltrer des appareils via des téléchargements de jeux apparemment inoffensifs met en évidence l’évolution du paysage des menaces numériques, renforçant l’importance de la sensibilisation à la cybersécurité parmi les utilisateurs et les organisations.
