Popüler oyunlar arayan kullanıcılar, tehlikeye atılan Windows ana bilgisayarlarına bir kripto para madencisinin konuşlandırılmasına yol açan truva atışçılarını indirmeye çekildi.
Büyük ölçekli etkinliğe kodlanmıştır Starydobry 31 Aralık 2024’te ilk kez tespit eden Rus siber güvenlik şirketi Kaspersky tarafından bir ay sürdü.
Kampanyanın hedefleri arasında dünya çapında bireyler ve işletmeler, Kaspersky’nin telemetrisi Rusya, Brezilya, Almanya, Belarus ve Kazakistan’da daha yüksek enfeksiyon konsantrasyonları buluyor.
Araştırmacılar Tatyana Shishkova ve Kirill Korchemny, “Bu yaklaşım, tehdit aktörlerinin madencilik faaliyetini sürdürebilen güçlü oyun makinelerini hedefleyerek madenci implantından en iyi şekilde yararlanmasına yardımcı oldu.” söz konusu Salı günü yayınlanan bir analizde.
XMRIG kripto para madenci kampanyası, sofistike bir saldırı zincirini başlatmak için cazibe olarak Beamng.drive, Garry’s Mod, Dyson Küre Programı, Evren Sandbox ve plutokrasi gibi popüler simülatör ve fizik oyunlarını kullanıyor.
Bu, kullanılarak hazırlanmış zehirli oyun yükleyicilerinin yüklenmesini içerir. İnno kurulumu Eylül 2024’te çeşitli torrent alanlarına, kampanyanın arkasındaki kimliği belirsiz tehdit aktörlerinin saldırıları dikkatle planladığını gösteriyor.
“Repacks” olarak da adlandırılan bu sürümleri indiren kullanıcılara, bir damlalık (“unrar.dll”) çıkarıldığı ve yürütüldüğü kurulum işlemine devam etmeye çağıran bir yükleyici ekranı sunulmaktadır.
DLL dosyası, yalnızca bir hata ayıklama veya kum havuzu ortamında çalışıp çalışmadığını belirlemek için bir dizi kontrol çalıştırdıktan sonra yürütülmesini sürdürür.
Daha sonra, api.myip gibi çeşitli siteleri ankete sahiptir. [.]com, ip-api [.]com ve ipwho [.]kullanıcının IP adresini almak ve konumlarını tahmin etmektir. Bu adımda başarısız olursa, ülke tamamen net olmayan nedenlerle Çin veya Belarus’a temerrüde düşer.
Bir sonraki aşama, makinenin parmak izini toplamayı, başka bir yürütülebilir dosyayı çözmeyi (“mtx64.exe”) ve içeriğini “windows.graphics.thumbnailhandler.dll” adlı diskte %SystemRoot %veya %SystemRoot’ta yazmayı gerektirir. % Sysnative klasör.
Meşru bir açık kaynak projesine dayanarak EpubshellextthumbnailhandlerMTX64, daha sonra içine yerleştirilmiş şifreli bir damlayı açan Kickstarter adlı taşınabilir bir yürütülebilir yükü yükleyerek Windows Shell uzantısı küçük resim işlevselliğini kendi kazancı için değiştirir.
Blob, önceki adımda olduğu gibi, “unix.directory.iconhandler.dll” adı altında diske yazılmıştır.
Yeni oluşturulan DLL, madenci implantını çalıştırmaktan sorumlu bir uzak sunucudan final aşamalı ikili alacak şekilde yapılandırılırken, aynı zamanda TaskMgr.exe ve Procmon.exe’yi çalışan işlemler listesinde sürekli olarak kontrol eder. İşlemlerden herhangi biri tespit edilirse artefaktı derhal sonlandırılır.
Madenci, 8 veya daha fazla çekirdeği olan CPU’lu makinelerde madencilik işlemini başlatmak için önceden tanımlanmış bir komut satırı kullanan XMRIG’nin biraz ayarlanmış bir sürümüdür.
Araştırmacılar, “8’den az varsa, madenci başlamaz.” Dedi. “Dahası, saldırgan bir madencilik havuzu sunucusunu halka açık bir şekilde kullanmak yerine kendi altyapılarında ağırlamayı seçti.”
“XMRIG, yerleşik işlevselliğini kullanarak oluşturulan komut satırını ayrıştırır. Madenci, önceki aşamada olduğu gibi aynı yöntemi kullanarak sistemde çalışan işlem monitörlerini kontrol etmek için ayrı bir iş parçacığı oluşturur.”
Starydobry, bilinen herhangi bir Kırım aktörüne bağlayabilecek göstergelerin eksikliği göz önüne alındığında katkıda bulunulmamıştır. Bununla birlikte, örneklerde Rus dil dizelerinin varlığı, Rusça konuşan bir tehdit oyuncusu olasılığını ifade ediyor.
