StaryDobry 攻击：利用游戏爱好者的威胁

针对游戏玩家的欺骗计划

StaryDobry 攻击是一场大规模活动，利用模拟和基于物理的视频游戏的流行，通过隐藏的加密货币挖矿程序入侵系统。该行动于 2024 年 12 月 31 日被发现，持续一个月，影响了多个国家/地区的用户，包括俄罗斯、巴西、德国、白俄罗斯和哈萨克斯坦。

此次攻击背后的网络犯罪分子利用用户寻求免费游戏下载的心理，在 torrent 平台上分发被感染的安装文件。被感染的文件伪装成BeamNG.drive 、Garry's Mod、 Dyson Sphere Program 、 Universe Sandbox和Plutocracy等热门游戏的合法副本，诱骗毫无戒心的用户安装恶意软件。

利用高性能系统

StaryDobry 活动的主要目标是在受感染的 Windows 机器上部署加密货币挖矿程序。所选的挖矿程序XMRig因其利用系统资源进行门罗币挖矿的能力而广为人知，门罗币是一种因强调匿名性而受到网络犯罪分子青睐的加密货币。

瞄准游戏爱好者是一项战略举措，因为游戏电脑通常拥有强大的处理器，能够维持长时间的挖矿操作。为了最大限度地提高效率，矿机只在至少有八个 CPU 核心的机器上激活，确保最佳性能，同时避免在性能较差的设备上被检测到。

多层攻击策略

感染过程始于使用 Inno Setup 制作的操纵游戏安装程序。这些安装程序早在 2024 年 9 月就已上传到 torrent 平台，这表明这是一场精心策划的攻击活动，旨在覆盖广泛的受众。

一旦用户启动安装程序，就会秘密提取并执行一个名为unrar.dll的 dropper 文件。此文件采用先进的技术来逃避检测，在继续执行之前会检查其是否在调试或沙盒环境中运行。

在绕过安全检查后，恶意软件会检索用户的 IP 地址并通过外部服务估算其地理位置。如果此步骤失败，系统位置将自动设置为中国或白俄罗斯，尽管这种回退背后的原因尚不清楚。

深度系统渗透和逃避技术

在收集到初步信息后，攻击继续解密另一个可执行文件MTX64.exe 。该组件以Windows.Graphics.ThumbnailHandler.dll的名称写入系统，并与 Windows Shell 扩展功能集成。

从这一点开始，引入了额外的执行层。名为Kickstarter的辅助有效载荷提取了一个加密文件，并将其保存在系统漫游凭据文件夹内的Unix.Directory.IconHandler.dll下。此文件促进了与远程命令服务器的通信，该服务器传递了最后一阶段的有效载荷——挖矿植入程序本身。

为了确保持久性并避免被发现，该恶意软件会持续监视系统进程，如果检测到任务管理器 ( taskmgr.exe ) 或进程监视工具 ( procmon.exe )，则会自动终止自身。这些规避技术大大降低了安全软件标记该操作的可能性。

定制采矿作业

攻击者没有连接到公共矿池，而是选择托管自己的挖矿基础设施。这种方法使他们能够更好地控制运营，并掩盖与非法挖矿活动相关的金融交易。

一旦激活，矿机就会执行预定义的命令来启动加密货币挖掘，将计算资源用于门罗币的生成。为了防止不必要的暴露，它包含一个内置监控功能，如果检测到安全分析工具，它会停止操作。

袭击的影响

StaryDobry 活动凸显了从非官方来源下载软件的风险。虽然受害者的直接后果是未经授权使用计算资源，但长期的挖矿活动可能会降低系统性能、增加能耗并缩短硬件寿命。

对于企业而言，如果攻击者决定将其业务扩展到采矿活动之外，未经授权的采矿软件的存在可能会破坏生产力，增加电力成本，并使网络面临更多威胁。

归因和未决问题

StaryDobry 攻击的幕后黑手身份仍不得而知。虽然在恶意软件样本中发现了使用俄语的证据，但尚未确定该活动与已知网络犯罪集团之间是否存在明确联系。

这起事件提醒我们，威胁者不断改进其方法，利用欺骗和规避技术来破坏全球系统。通过看似无害的游戏下载侵入设备的能力凸显了数字威胁的不断演变，强调了用户和组织提高网络安全意识的重要性。