Attacco StaryDobry: la minaccia che sfrutta gli appassionati di videogiochi
Table of Contents
Uno schema ingannevole che prende di mira i giocatori
L'attacco StaryDobry è una campagna su larga scala che ha sfruttato la popolarità dei videogiochi di simulazione e basati sulla fisica per infiltrarsi nei sistemi con un minatore di criptovalute nascosto. Rilevata il 31 dicembre 2024, questa operazione è durata un mese e ha avuto un impatto sugli utenti di più Paesi, tra cui Russia, Brasile, Germania, Bielorussia e Kazakistan.
I criminali informatici dietro questo attacco hanno approfittato di individui che cercavano download gratuiti di giochi distribuendo file di installazione compromessi su piattaforme torrent. I file infetti si sono mascherati da copie legittime di giochi popolari come BeamNG.drive , Garry's Mod, Dyson Sphere Program , Universe Sandbox e Plutocracy , inducendo gli utenti ignari a installare software dannoso.
Sfruttamento dei sistemi ad alte prestazioni
L'obiettivo principale della campagna StaryDobry era di distribuire un programma di mining di criptovaluta su macchine Windows infette. Il miner scelto, XMRig , è ampiamente noto per la sua capacità di sfruttare le risorse di sistema per il mining di Monero, una criptovaluta preferita dai criminali informatici per la sua enfasi sull'anonimato.
Prendere di mira gli appassionati di gaming è stata una mossa strategica, poiché i PC da gaming solitamente possiedono processori potenti in grado di sostenere operazioni di mining prolungate. Per massimizzare l'efficienza, il miner si attivava solo su macchine con almeno otto core CPU, garantendo prestazioni ottimali ed evitando il rilevamento su dispositivi meno capaci.
Una strategia di attacco multistrato
Il processo di infezione è iniziato con programmi di installazione di giochi manipolati creati utilizzando Inno Setup. Questi programmi di installazione sono stati caricati su piattaforme torrent già a settembre 2024, il che suggerisce una campagna ben pianificata, progettata per raggiungere un vasto pubblico.
Una volta che gli utenti hanno avviato l'installer, un file dropper denominato unrar.dll è stato estratto ed eseguito discretamente. Questo file ha impiegato tecniche avanzate per eludere il rilevamento, verificando se stava operando in un ambiente di debug o sandbox prima di procedere.
Dopo aver aggirato i controlli di sicurezza, il malware recuperava l'indirizzo IP dell'utente e ne stimava la posizione geografica tramite servizi esterni. Se questo passaggio falliva, la posizione del sistema veniva automaticamente impostata su Cina o Bielorussia, sebbene il ragionamento alla base di questo fallback rimanga poco chiaro.
Tecniche di infiltrazione e evasione del sistema profondo
Dopo aver raccolto informazioni preliminari, l'attacco è proseguito decifrando un altro eseguibile, MTX64.exe . Questo componente è stato scritto nel sistema con il nome Windows.Graphics.ThumbnailHandler.dll e integrato con la funzionalità Windows Shell Extension.
Da questo punto, è stato introdotto un ulteriore livello di esecuzione. Un payload secondario denominato Kickstarter ha estratto un file crittografato e lo ha salvato in Unix.Directory.IconHandler.dll all'interno della cartella delle credenziali di roaming del sistema. Questo file ha facilitato la comunicazione con un server di comando remoto, che ha consegnato il payload della fase finale, ovvero l'impianto miner stesso.
Per garantire la persistenza ed evitare il rilevamento, il malware monitorava costantemente i processi di sistema, terminandosi automaticamente se venivano rilevati task manager ( taskmgr.exe ) o strumenti di monitoraggio dei processi ( procmon.exe ). Queste tecniche di evasione riducevano significativamente la probabilità che il software di sicurezza segnalasse l'operazione.
Un'operazione di estrazione mineraria personalizzata
Invece di connettersi a un pool di mining pubblico, gli aggressori hanno optato per ospitare la propria infrastruttura di mining. Questo approccio ha consentito loro di mantenere un maggiore controllo sull'operazione e di oscurare le transazioni finanziarie legate all'attività di mining illecita.
Una volta attivato, il miner eseguiva comandi predefiniti per avviare il mining di criptovalute, indirizzando le risorse di elaborazione verso la generazione di Monero. Per evitare esposizioni non necessarie, includeva una funzione di monitoraggio integrata che interrompeva le operazioni se venivano rilevati strumenti di analisi della sicurezza.
Implicazioni dell'attacco
La campagna StaryDobry sottolinea i rischi associati al download di software da fonti non ufficiali. Mentre la conseguenza immediata per le vittime è stata l'uso non autorizzato di risorse informatiche, un'attività di mining prolungata potrebbe degradare le prestazioni del sistema, aumentare il consumo di energia e accorciare la durata dell'hardware.
Per le aziende, la presenza di software di mining non autorizzato potrebbe compromettere la produttività, aumentare i costi dell'elettricità ed esporre le reti a ulteriori minacce se gli aggressori decidessero di espandere le proprie attività oltre quelle di mining.
Attribuzione e domande aperte
L'identità dei responsabili dell'attacco StaryDobry rimane sconosciuta. Sebbene siano state trovate prove dell'uso della lingua russa nei campioni di malware, non è stato stabilito alcun collegamento definitivo che colleghi la campagna a noti gruppi di criminali informatici.
Questo incidente ci ricorda che gli autori delle minacce continuano a perfezionare i loro metodi, impiegando tecniche di inganno ed evasione per compromettere i sistemi in tutto il mondo. La capacità di infiltrarsi nei dispositivi tramite download di giochi apparentemente innocui evidenzia il panorama in evoluzione delle minacce digitali, rafforzando l'importanza della consapevolezza della sicurezza informatica tra utenti e organizzazioni.
