Gli utenti in cerca di giochi popolari sono stati attratti nel scaricare installer infetti da trojan che hanno portato all’installazione di un miner di criptovalute su host Windows compromessi e l’attività su larga scala è stata battezzata “StaryDobry” dalla società russa di sicurezza informatica Kaspersky, che l’ha rilevata per la prima volta il 31 dicembre 2024.
La storia di StaryDobry, tuttavia è durata un solo mese.
StaryDobry: come si comporta e cosa colpisce
I bersagli della campagna StaryDobry includono individui e aziende in tutto il mondo, con la telemetria di Kaspersky che rileva una maggiore concentrazione di infezioni in Russia, Brasile, Germania, Bielorussia e Kazakistan.
“Questo approccio ha aiutato gli attaccanti a sfruttare al massimo l’impianto minerario, mirando a potenti macchine da gioco in grado di sostenere l’attività di mining“, hanno detto i ricercatori Tatyana Shishkova e Kirill Korchemny in un’analisi pubblicata martedì.
La campagna del miner di criptovalute XMRig utilizza giochi popolari di simulazione e fisica, come BeamNG.drive, Garry’s Mod, Dyson Sphere Program, Universe Sandbox e Plutocracy, come esche per avviare una catena di attacchi sofisticata.
Questo comporta il caricamento di installer di giochi “avvelenati” creati con Inno Setup su vari siti di torrent nel settembre 2024, indicando che gli attaccanti, ancora sconosciuti, dietro la campagna avevano pianificato attentamente gli attacchi.
Eco dove si “nasconde” StaryDobry
Gli utenti che finiscono per scaricare questi rilasci, chiamati anche “repacks“, si trovano davanti a una schermata dell’installer che li esorta a proseguire con il processo di installazione, durante il quale viene estratto ed eseguito un dropper (“unrar.dll”).
Il file DLL continua la sua esecuzione solo dopo aver effettuato una serie di controlli per determinare se è in esecuzione in un ambiente di debug o sandbox, una dimostrazione del suo comportamento altamente evasivo.
Successivamente, interroga vari siti come api.myip[.]com, ip-api[.]com e ipwho[.]is per ottenere l’indirizzo IP dell’utente e stimare la sua posizione e se non riesce in questo passaggio, il paese viene predefinito su Cina o Bielorussia, per ragioni che non sono completamente chiare.
La fase successiva prevede la raccolta di un’impronta della macchina, la decrittazione di un altro eseguibile (“MTX64.exe”) e la scrittura dei suoi contenuti in un file sul disco chiamato “Windows.Graphics.ThumbnailHandler.dll” nella cartella %SystemRoot% o %SystemRoot%\Sysnative.
Basato su un progetto open-source legittimo chiamato EpubShellExtThumbnailHandler, MTX64 modifica la funzionalità del Windows Shell Extension Thumbnail Handler per il proprio tornaconto, caricando un payload successivo, un eseguibile portatile chiamato Kickstarter, che poi estrae un blob criptato incorporato al suo interno.
Il blob, come nel passaggio precedente, viene scritto sul disco con il nome “Unix.Directory.IconHandler.dll” nella cartella %appdata\Roaming\Microsoft\Credentials%InstallDate%.
La nuova DLL creata è configurata per recuperare il binario finale da un server remoto, responsabile dell’esecuzione dell’impianto minerario, controllando continuamente la presenza di taskmgr.exe e procmon.exe nella lista dei processi in esecuzione. L’artefatto viene prontamente terminato se uno dei processi viene rilevato.
Conclusioni sul miner StaryDobry
Il miner è una versione leggermente modificata di XMRig che utilizza una riga di comando predefinita per avviare il processo di mining su macchine con CPU che hanno 8 o più core.
“Se ci sono meno di 8 core, il miner non si avvia,” hanno detto i ricercatori. “Inoltre, l’attaccante ha scelto di ospitare un server per il mining nella propria infrastruttura, invece di utilizzare uno pubblico.”
“XMRig analizza la riga di comando costruita utilizzando la sua funzionalità integrata. Il miner crea anche un thread separato per verificare se ci sono monitor di processo in esecuzione nel sistema, utilizzando lo stesso metodo della fase precedente.”
StaryDobry rimane senza attribuzione a causa della mancanza di indicatori che possano legarlo a noti gruppi di criminali informatici; tuttavia, la presenza di stringhe in lingua russa nei campioni suggerisce la possibilità che si tratti di un attaccante di lingua russa.