Pengguna yang mencari game populer terpikat untuk mengunduh installer Trojanized yang menyebabkan penyebaran penambang cryptocurrency pada host Windows yang dikompromikan.
Aktivitas skala besar telah diberi nama kode StaryDobry oleh perusahaan cybersecurity Rusia Kaspersky, yang pertama kali mendeteksi pada tanggal 31 Desember 2024. Itu berlangsung selama sebulan.
Target kampanye termasuk individu dan bisnis di seluruh dunia, dengan telemetri Kaspersky menemukan konsentrasi infeksi yang lebih tinggi di Rusia, Brasil, Jerman, Belarus, dan Kazakhstan.
“Pendekatan ini membantu para aktor ancaman memanfaatkan implan penambang dengan menargetkan mesin game yang kuat yang mampu mempertahankan kegiatan penambangan,” kata para peneliti Tatyana Shishkova dan Kirill Korchemny dalam sebuah analisis yang diterbitkan Selasa.
Kampanye Cryptocurrency Miner XMRIG menggunakan game simulator dan fisika populer seperti Beamng.drive, Mod Garry, program Dyson Sphere, Universe Sandbox, dan plutokrasi sebagai umpan untuk memulai rantai serangan yang canggih.
Ini melibatkan mengunggah pemasang game yang beracun yang dibuat menggunakan pengaturan Inno ke berbagai situs torrent pada bulan September 2024, menunjukkan bahwa aktor ancaman yang tidak dikenal di balik kampanye telah dengan hati -hati merencanakan serangan tersebut.
Pengguna yang akhirnya mengunduh rilis ini, juga disebut “Recacks” dilayani layar pemasang yang mendesak mereka untuk melanjutkan proses pengaturan, di mana penetes (“UNRAR.DLL”) diekstraksi dan dieksekusi.
File DLL melanjutkan eksekusi hanya setelah menjalankan serangkaian cek untuk menentukan apakah itu berjalan di lingkungan debugging atau kotak pasir, sebuah demonstrasi perilaku yang sangat menghindar.
Selanjutnya, ini jajak pendapat berbagai situs seperti API.MYIP [.]com, IP-API [.]com, dan ipwho [.]adalah untuk mendapatkan alamat IP pengguna dan memperkirakan lokasinya. Jika gagal dalam langkah ini, negara tersebut gagal bayar ke Cina atau Belarus karena alasan yang tidak sepenuhnya jelas.
Fase berikutnya mensyaratkan pengumpulan sidik jari mesin, mendekripsi lain yang dapat dieksekusi (“mtx64.exe”), dan menulis isinya ke file pada disk bernama “windows.graphics.thumbnailhandler.dll” di kedua %Systemroot %atau %Systemroot Systemroot Folder %\ sysnative.
Berdasarkan proyek open-source yang sah yang disebut epubshellextthumbnailhandler, MTX64 memodifikasi fungsionalitas penangan thumbnail ekstensi windows shell untuk keuntungannya sendiri dengan memuat muatan tahap berikutnya, sebuah portabel yang dapat dieksekusi bernama Kickstarter yang kemudian membongkar gumpalan terenkripsi yang tertanam di dalamnya.
Gumpalan, seperti pada langkah sebelumnya, ditulis ke disk dengan nama “unix.directory.iconhandler.dll” di folder%appData \ roaming \ microsoft \ credentials \%installDate%\.
DLL yang baru dibuat dikonfigurasi untuk mengambil biner tahap akhir dari server jarak jauh yang bertanggung jawab untuk menjalankan implan penambang, sementara juga secara terus-menerus memeriksa TaskMgr.exe dan Procmon.exe dalam daftar proses berjalan. Artefak segera diakhiri jika salah satu proses terdeteksi.
Penambang adalah versi XMRIG yang sedikit tweak yang menggunakan baris perintah yang telah ditentukan untuk memulai proses penambangan pada mesin dengan CPU yang memiliki 8 atau lebih core.
“Jika ada kurang dari 8, penambang tidak memulai,” kata para peneliti. “Selain itu, penyerang memilih untuk meng -host server kumpulan pertambangan di infrastruktur mereka sendiri alih -alih menggunakan yang publik.”
“XMRIG mem-parsing baris perintah yang dibangun menggunakan fungsionalitas bawaannya. Penambang juga membuat utas terpisah untuk memeriksa monitor proses yang berjalan dalam sistem, menggunakan metode yang sama seperti pada tahap sebelumnya.”
StaryDobry tetap tidak dikendalikan mengingat kurangnya indikator yang dapat mengikatnya dengan aktor krimeware yang dikenal. Yang mengatakan, kehadiran string bahasa Rusia dalam sampel menyinggung kemungkinan aktor ancaman berbahasa Rusia.
