Gli utenti alla ricerca di giochi popolari sono stati ingannati nel scaricare installer alterati che hanno portato all'installazione di un miner di criptovaluta su sistemi Windows compromessi. Questa attività su larga scala è stata denominata StaryDobry dalla società russa di sicurezza informatica Kaspersky, che l'ha rilevata per la prima volta il 31 dicembre 2024. L'attacco è durato un mese.

Le vittime della campagna includono individui e aziende di tutto il mondo, con una maggiore concentrazione di infezioni in Russia, Brasile, Germania, Bielorussia e Kazakistan. Questo approccio ha permesso agli attori della minaccia di sfruttare al massimo l'impianto del miner, prendendo di mira potenti macchine da gioco in grado di sostenere l'attività di mining.

La campagna di mining di criptovaluta

La campagna di mining di criptovaluta XMRig utilizza giochi simulatori e di fisica popolari come BeamNG.drive, Garry's Mod, Dyson Sphere Program, Universe Sandbox e Plutocracy come esche per avviare una catena di attacco sofisticata. Questo coinvolge il caricamento di installer di giochi avvelenati, creati utilizzando Inno Setup, su vari siti torrent nel settembre 2024, indicando che gli attori non identificati dietro la campagna avevano pianificato attentamente gli attacchi.

Gli utenti che scaricano queste versioni, chiamate anche "repacks", vengono accolti da una schermata di installazione che li invita a procedere con il processo di configurazione, durante il quale un dropper ("unrar.dll") viene estratto ed eseguito. Il file DLL continua la sua esecuzione solo dopo aver eseguito una serie di controlli per determinare se è in esecuzione in un ambiente di debug o sandbox, dimostrando il suo comportamento altamente evasivo.

Successivamente, effettua il polling di vari siti per ottenere l'indirizzo IP dell'utente e stimare la sua posizione. Se fallisce in questo passaggio, il paese viene impostato di default su Cina o Bielorussia per ragioni non del tutto chiare. La fase successiva prevede la raccolta di un'impronta digitale della macchina, la decrittazione di un altro eseguibile ("MTX64.exe") e la scrittura dei suoi contenuti su un file sul disco.

Modifiche e funzionamento del miner

Basato su un progetto open-source legittimo, MTX64 modifica la funzionalità di Windows Shell Extension Thumbnail Handler per il proprio guadagno caricando un payload di fase successiva. Il nuovo DLL creato è configurato per recuperare il binario di fase finale da un server remoto responsabile dell'esecuzione dell'impianto del miner, controllando anche continuamente i processi in esecuzione.

Il miner è una versione leggermente modificata di XMRig che utilizza una riga di comando predefinita per avviare il processo di mining su macchine con CPU che hanno 8 o più core. Se ci sono meno di 8, il miner non si avvia. Inoltre, l'attaccante ha scelto di ospitare un server di pool di mining nella propria infrastruttura anziché utilizzarne uno pubblico.

StaryDobry rimane non attribuito data la mancanza di indicatori che potrebbero collegarlo a noti attori di crimeware. Tuttavia, la presenza di stringhe in lingua russa nei campioni allude alla possibilità di un attore della minaccia di lingua russa.