Usuários em busca de jogos populares foram atraídos a baixar instaladores trojanizados que resultaram na implementação de um cryptocurrency miner em hosts Windows comprometidos.
A atividade em larga escala foi batizada de StaryDobry pela empresa russa de cibersegurança Kaspersky, que a detectou pela primeira vez em 31 de dezembro de 2024.
Ela durou aproximadamente um mês.
Os alvos da campanha incluem indivíduos e empresas ao redor do mundo, com a telemetria da Kaspersky encontrando concentrações mais altas de infecções na Rússia, Brasil, Alemanha, Belarus e Cazaquistão.
"Essa abordagem ajudou os atores da ameaça a maximizar o proveito do miner implant ao focar em máquinas de jogos poderosas capazes de sustentar a atividade de mineração", disseram os pesquisadores Tatyana Shishkova e Kirill Korchemny em uma análise publicada na terça-feira(18).
A campanha do cryptocurrency miner XMRig emprega jogos simuladores e de física populares como BeamNG.drive, Garry's Mod, Dyson Sphere Program, Universe Sandbox e Plutocracy como iscas para iniciar uma cadeia de ataque sofisticada.
Isso envolve o envio de instaladores de jogos envenenados criados usando Inno Setup em vários sites de torrent em setembro de 2024, indicando que os atores de ameaças não identificados por trás da campanha planejaram cuidadosamente os ataques.
Usuários que acabam baixando esses lançamentos, também chamados de "repacks", recebem uma tela de instalação que os insta a prosseguir com o processo de instalação, durante o qual um *dropper* ("unrar.dll") é extraído e executado.
O arquivo DLL continua sua execução apenas após executar uma série de verificações para determinar se está sendo executado em um ambiente de depuração ou sandboxed, demonstrando seu comportamento altamente evasivo.
Posteriormente, ele consulta vários sites como api.myip [.]com, ip-api [.]com e ipwho [.]is para obter o endereço IP do usuário e estimar sua localização.
Se falhar nesta etapa, o país é configurado por padrão como China ou Belarus por razões que não são totalmente claras.
A fase seguinte envolve coletar uma impressão digital da máquina, descriptografar outro executável ("MTX64.exe") e escrever seu conteúdo em um arquivo no disco nomeado "Windows.Graphics.ThumbnailHandler.dll" nas pastas %SystemRoot% ou %SystemRoot%\Sysnative.
Baseado em um projeto open-source legítimo chamado EpubShellExtThumbnailHandler, MTX64 modifica a funcionalidade do Windows Shell Extension Thumbnail Handler para seu próprio benefício, carregando um *payload* da próxima fase, um executável portátil chamado Kickstarter que então descompacta um *blob* criptografado incorporado nele.
O blob, como no passo anterior, é escrito no disco sob o nome "Unix.Directory.IconHandler.dll" na pasta %appdata\Roaming\Microsoft\Credentials\%InstallDate%\.
O DLL recém-criado é configurado para recuperar o binário da etapa final de um servidor remoto que é responsável por executar o *miner implant*, enquanto também verifica continuamente a lista de processos em execução por taskmgr.exe e procmon.exe.
O artefato é prontamente encerrado se qualquer um dos processos for detectado.
O miner é uma versão ligeiramente modificada do XMRig que utiliza uma linha de comando predefinida para iniciar o processo de mineração em máquinas com CPUs que têm 8 ou mais núcleos.
"Se houver menos de 8, o miner não inicia", disseram os pesquisadores.
Além disso, o atacante optou por hospedar um servidor de mining pool em sua própria infraestrutura em vez de usar um público. "O XMRig analisa a linha de comando construída usando sua funcionalidade incorporada.
O miner também cria uma thread separada para verificar por monitores de processo em execução no sistema, usando o mesmo método que na etapa anterior." StaryDobry permanece não atribuído dada a falta de indicadores que possam vinculá-lo a qualquer ator de crimeware conhecido.
Dito isso, a presença de strings em russo nas amostras sugere a possibilidade de um ator de ameaça de fala russa.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...