StaryDobry Attack: Угроза, эксплуатирующая энтузиастов игр
Table of Contents
Обманная схема, нацеленная на геймеров
Атака StaryDobry — это масштабная кампания, которая использовала популярность симуляций и видеоигр на основе физики для проникновения в системы с помощью скрытого майнера криптовалюты. Эта операция, обнаруженная 31 декабря 2024 года, длилась месяц и затронула пользователей во многих странах, включая Россию, Бразилию, Германию, Беларусь и Казахстан.
Киберпреступники, стоящие за этой атакой, воспользовались тем, что люди искали бесплатные загрузки игр, распространяя скомпрометированные установочные файлы на торрент-платформах. Зараженные файлы маскировались под легальные копии популярных игр, таких как BeamNG.drive , Garry's Mod, Dyson Sphere Program , Universe Sandbox и Plutocracy , заманивая ничего не подозревающих пользователей на установку вредоносного ПО.
Использование высокопроизводительных систем
Основной целью кампании StaryDobry было развертывание программы майнинга криптовалюты на зараженных машинах Windows. Выбранный майнер, XMRig , широко известен своей способностью использовать системные ресурсы для майнинга Monero, криптовалюты, любимой киберпреступниками из-за ее акцента на анонимности.
Нацеливание на геймеров-энтузиастов было стратегическим шагом, поскольку игровые ПК обычно обладают мощными процессорами, способными поддерживать длительные операции по майнингу. Чтобы максимизировать эффективность, майнер активировался только на машинах с не менее чем восемью ядрами ЦП, обеспечивая оптимальную производительность и избегая обнаружения на менее производительных устройствах.
Стратегия многоуровневой атаки
Процесс заражения начался с манипуляций с установщиками игр, созданными с помощью Inno Setup. Эти установщики были загружены на торрент-платформы еще в сентябре 2024 года, что говорит о хорошо спланированной кампании, рассчитанной на охват широкой аудитории.
После того, как пользователи запускали установщик, файл-дроппер с именем unrar.dll был скрытно извлечен и запущен. Этот файл использовал передовые методы, чтобы избежать обнаружения, проверяя, работает ли он в среде отладки или изолированной среде, прежде чем продолжить.
Обойдя проверки безопасности, вредоносная программа извлекала IP-адрес пользователя и оценивала его географическое местоположение через внешние сервисы. Если этот шаг не удавался, местоположение системы автоматически устанавливалось на Китай или Беларусь, хотя причина этого отката остается неясной.
Методы глубокого проникновения в систему и уклонения от нее
После сбора предварительной информации атака продолжилась расшифровкой другого исполняемого файла MTX64.exe . Этот компонент был записан в систему под именем Windows.Graphics.ThumbnailHandler.dll и интегрирован с функциональностью Windows Shell Extension.
С этого момента был введен дополнительный уровень исполнения. Вторичная полезная нагрузка под названием Kickstarter извлекла зашифрованный файл и сохранила его в Unix.Directory.IconHandler.dll в папке перемещаемых учетных данных системы. Этот файл облегчал связь с удаленным командным сервером, который доставлял полезную нагрузку конечной стадии — сам имплант майнера.
Чтобы обеспечить стойкость и избежать обнаружения, вредоносная программа постоянно отслеживала системные процессы, автоматически завершая себя при обнаружении диспетчера задач ( taskmgr.exe ) или инструментов мониторинга процессов ( procmon.exe ). Эти методы уклонения значительно снижали вероятность того, что программное обеспечение безопасности пометит операцию.
Индивидуальная горнодобывающая операция
Вместо того, чтобы подключаться к публичному майнинговому пулу, злоумышленники решили разместить собственную майнинговую инфраструктуру. Такой подход позволил им сохранить больший контроль над работой и скрыть финансовые транзакции, связанные с незаконной майнинговой деятельностью.
После активации майнер выполнял предопределенные команды для инициирования майнинга криптовалюты, направляя вычислительные ресурсы на генерацию Monero. Чтобы предотвратить ненужное раскрытие информации, он включал встроенную функцию мониторинга, которая останавливала операции, если обнаруживались инструменты анализа безопасности.
Последствия атаки
Кампания StaryDobry подчеркивает риски, связанные со скачиванием ПО из неофициальных источников. Хотя непосредственным последствием для жертв стало несанкционированное использование вычислительных ресурсов, продолжительная майнинговая деятельность может ухудшить производительность системы, увеличить потребление энергии и сократить срок службы оборудования.
Для предприятий наличие несанкционированного программного обеспечения для майнинга может нарушить производительность, повысить расходы на электроэнергию и подвергнуть сети дополнительным угрозам, если злоумышленники решат расширить свою деятельность за пределы майнинга.
Атрибуция и открытые вопросы
Личность тех, кто стоит за атакой StaryDobry, остается неизвестной. Хотя в образцах вредоносного ПО были обнаружены доказательства использования русского языка, не было установлено никакой определенной связи между кампанией и известными киберпреступными группами.
Этот инцидент напоминает нам, что злоумышленники продолжают совершенствовать свои методы, используя обман и уклонения для компрометации систем по всему миру. Возможность проникновения в устройства через, казалось бы, безобидные загрузки игр подчеркивает меняющийся ландшафт цифровых угроз, усиливая важность осведомленности о кибербезопасности как среди пользователей, так и среди организаций.
