Los usuarios que están atentos a los juegos populares se atrajeron a la descarga de instaladores troyanos que condujeron a la implementación de un minero de criptomonedas en hosts de Windows comprometidos.
La actividad a gran escala ha sido nombrada en código Estriario Por la compañía rusa de ciberseguridad Kaspersky, que lo detectó por primera vez el 31 de diciembre de 2024. Duró durante un mes.
Los objetivos de la campaña incluyen individuos y empresas en todo el mundo, con la telemetría de Kaspersky encontrando mayores concentraciones de infección en Rusia, Brasil, Alemania, Bielorrusia y Kazajstán.
“Este enfoque ayudó a los actores de amenaza a aprovechar al máximo el implante minero al atacar a poderosas máquinas de juego capaces de mantener la actividad minera”, los investigadores Tatyana Shishkova y Kirill Korchemny dicho en un análisis publicado el martes.
La campaña de mineros de criptomonedas XMRIG emplea juegos populares de simulador y física como Beamng.Drive, Garry’s Mod, Dyson Sphere Program, Universo Sandbox y Plutocracy como señuelos para iniciar una cadena de ataque sofisticada.
Esto implica cargar instaladores de juegos envenenados diseñados usando Inno Configuración En varios sitios de torrentes en septiembre de 2024, lo que indica que los actores de amenaza no identificados detrás de la campaña habían planeado cuidadosamente los ataques.
Los usuarios que terminan descargando estos lanzamientos, también llamados “reembolsos”, reciben una pantalla de instalador que los insta a continuar con el proceso de configuración, durante el cual se extrae y ejecutan un gotero (“unrar.dll”).
El archivo DLL continúa su ejecución solo después de ejecutar una serie de verificaciones para determinar si se ejecuta en un entorno de depuración o sandboxed, una demostración de su comportamiento altamente evasivo.
Posteriormente, encuesta varios sitios como API.Myip [.]com, ip-api [.]com y ipwho [.]es obtener la dirección IP del usuario y estimar su ubicación. Si falla en este paso, el país está predeterminado a China o Bielorrusia por razones que no están completamente claras.
La siguiente fase implica reunir una huella digital de la máquina, descifrar otro ejecutable (“mtx64.exe”), y escribir su contenido en un archivo en el disco llamado “Windows.Graphics.TumbnailHandler.dll” en el %Systemroot %o %Systemroot % Carpeta sysnative.
Basado en un proyecto legítimo de código abierto llamado EpubshellextthumbnailhandlerMTX64 modifica la funcionalidad del manejador de miniatura de extensión de shell Windows para su propia ganancia cargando una carga útil de la próxima etapa, un ejecutable portátil llamado Kickstarter que luego desempaqueta una mancha encriptada integrada dentro de ella.
El blob, como en el paso anterior, se escribe en el disco bajo el nombre “unix.directory.iconhandler.dll” en la carpeta%AppData Roaming Microsoft Credentials %InstallDate%.
El DLL recién creado está configurado para recuperar el binario de etapa final de un servidor remoto que es responsable de ejecutar el implante minero, al tiempo que verifica continuamente la tarea de TaskMgr.exe y Procmon.exe en la lista de procesos de ejecución. El artefacto se termina rápidamente si se detecta alguno de los procesos.
El minero es una versión ligeramente ajustada de XMRIG que utiliza una línea de comando predefinida para iniciar el proceso de minería en máquinas con CPU que tienen 8 o más núcleos.
“Si hay menos de 8, el minero no comienza”, dijeron los investigadores. “Además, el atacante eligió alojar un servidor de la piscina minera en su propia infraestructura en lugar de usar una pública”.
“XMRIG analiza la línea de comando construida utilizando su funcionalidad incorporada. El minero también crea un hilo separado para verificar los monitores de proceso que se ejecutan en el sistema, utilizando el mismo método que en la etapa anterior”.
Starydobry permanece sin atribuir dada la falta de indicadores que podrían vincularlo a cualquier actor de Crimeware conocido. Dicho esto, la presencia de cadenas de idiomas rusos en las muestras alude a la posibilidad de un actor de amenaza de habla rusa.
About the Author
