Ataque StaryDobry: A ameaça que explora os entusiastas dos jogos
Table of Contents
Um esquema enganoso visando jogadores
O ataque StaryDobry é uma campanha em larga escala que alavancou a popularidade de jogos de simulação e baseados em física para infiltrar sistemas com um minerador de criptomoeda oculto. Detectada em 31 de dezembro de 2024, essa operação durou um mês e impactou usuários em vários países, incluindo Rússia, Brasil, Alemanha, Bielorrússia e Cazaquistão.
Os cibercriminosos por trás desse ataque se aproveitaram de indivíduos que buscavam downloads gratuitos de jogos, distribuindo arquivos de instalação comprometidos em plataformas torrent. Os arquivos infectados se disfarçavam como cópias legítimas de jogos populares, como BeamNG.drive , Garry's Mod, Dyson Sphere Program , Universe Sandbox e Plutocracy , atraindo usuários desavisados para instalar software malicioso.
Explorando sistemas de alto desempenho
O objetivo principal da campanha StaryDobry era implantar um programa de mineração de criptomoedas em máquinas Windows infectadas. O minerador escolhido, XMRig , é amplamente conhecido por sua capacidade de aproveitar recursos do sistema para mineração de Monero, uma criptomoeda favorecida por criminosos cibernéticos devido à sua ênfase no anonimato.
Visar entusiastas de jogos foi uma jogada estratégica, já que PCs para jogos normalmente possuem processadores poderosos capazes de sustentar operações de mineração prolongadas. Para maximizar a eficiência, o minerador só foi ativado em máquinas com pelo menos oito núcleos de CPU, garantindo desempenho ideal e evitando detecção em dispositivos menos capazes.
Uma estratégia de ataque multicamadas
O processo de infecção começou com instaladores de jogos manipulados, criados usando o Inno Setup. Esses instaladores foram enviados para plataformas de torrent já em setembro de 2024, sugerindo uma campanha bem planejada, projetada para atingir um público amplo.
Depois que os usuários iniciavam o instalador, um arquivo dropper chamado unrar.dll era discretamente extraído e executado. Esse arquivo empregava técnicas avançadas para evitar a detecção, verificando se estava operando em um ambiente de depuração ou sandbox antes de prosseguir.
Ao contornar as verificações de segurança, o malware recuperava o endereço IP do usuário e estimava sua localização geográfica por meio de serviços externos. Se essa etapa falhasse, a localização do sistema era automaticamente definida para China ou Belarus, embora o raciocínio por trás desse fallback permaneça obscuro.
Técnicas de infiltração e evasão de sistemas profundos
Após reunir informações preliminares, o ataque progrediu descriptografando outro executável, MTX64.exe . Este componente foi escrito no sistema sob o nome Windows.Graphics.ThumbnailHandler.dll e integrado com a funcionalidade Windows Shell Extension.
A partir deste ponto, uma camada adicional de execução foi introduzida. Um payload secundário chamado Kickstarter extraiu um arquivo criptografado e o salvou em Unix.Directory.IconHandler.dll dentro da pasta de credenciais de roaming do sistema. Este arquivo facilitou a comunicação com um servidor de comando remoto, que entregou o payload do estágio final — o próprio implante do minerador.
Para garantir persistência e evitar detecção, o malware monitorava continuamente os processos do sistema, encerrando-se automaticamente se o gerenciador de tarefas ( taskmgr.exe ) ou as ferramentas de monitoramento de processos ( procmon.exe ) fossem detectados. Essas técnicas de evasão reduziram significativamente a probabilidade de o software de segurança sinalizar a operação.
Uma operação de mineração personalizada
Em vez de se conectar a um pool de mineração público, os invasores optaram por hospedar sua própria infraestrutura de mineração. Essa abordagem permitiu que eles mantivessem maior controle sobre a operação e obscurecessem transações financeiras vinculadas à atividade de mineração ilícita.
Uma vez ativado, o minerador executava comandos predefinidos para iniciar a mineração de criptomoedas, direcionando recursos de computação para a geração de Monero. Para evitar exposição desnecessária, ele incluía uma função de monitoramento integrada que parava as operações se ferramentas de análise de segurança fossem detectadas.
Implicações do Ataque
A campanha StaryDobry ressalta os riscos associados ao download de software de fontes não oficiais. Embora a consequência imediata para as vítimas tenha sido o uso não autorizado de recursos de computação, a atividade de mineração prolongada pode degradar o desempenho do sistema, aumentar o consumo de energia e encurtar a vida útil do hardware.
Para as empresas, a presença de software de mineração não autorizado pode prejudicar a produtividade, aumentar os custos de eletricidade e expor as redes a ameaças adicionais se os invasores decidirem expandir suas operações além das atividades de mineração.
Atribuição e perguntas abertas
A identidade dos responsáveis pelo ataque StaryDobry permanece desconhecida. Embora evidências do uso da língua russa tenham sido encontradas nas amostras de malware, nenhuma ligação definitiva foi estabelecida conectando a campanha a grupos cibercriminosos conhecidos.
Este incidente nos lembra que os agentes de ameaças continuam a refinar seus métodos, empregando técnicas de engano e evasão para comprometer sistemas em todo o mundo. A capacidade de infiltrar dispositivos por meio de downloads de jogos aparentemente inofensivos destaca o cenário em evolução das ameaças digitais, reforçando a importância da conscientização sobre segurança cibernética entre usuários e organizações.
