{"id":1587357,"date":"2025-02-19T11:26:26","date_gmt":"2025-02-19T11:26:26","guid":{"rendered":"https:\/\/teknomers.com\/es\/los-instaladores-de-juegos-troyanizados-despliegan-minero-de-criptomonedas-en-ataque-de-staryedobry-a-gran-escala\/"},"modified":"2025-02-19T11:26:31","modified_gmt":"2025-02-19T11:26:31","slug":"los-instaladores-de-juegos-troyanizados-despliegan-minero-de-criptomonedas-en-ataque-de-staryedobry-a-gran-escala","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/los-instaladores-de-juegos-troyanizados-despliegan-minero-de-criptomonedas-en-ataque-de-staryedobry-a-gran-escala\/","title":{"rendered":"Los instaladores de juegos troyanizados despliegan minero de criptomonedas en ataque de Staryedobry a gran escala"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>19 de febrero de 2025<\/span>\ue804<\/i>Las noticias del hacker<\/span><\/span>Seguridad \/ malware de Windows<\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

Los usuarios que est\u00e1n atentos a los juegos populares se atrajeron a la descarga de instaladores troyanos que condujeron a la implementaci\u00f3n de un minero de criptomonedas en hosts de Windows comprometidos.<\/p>\n

La actividad a gran escala ha sido nombrada en c\u00f3digo Estriario<\/strong> Por la compa\u00f1\u00eda rusa de ciberseguridad Kaspersky, que lo detect\u00f3 por primera vez el 31 de diciembre de 2024. Dur\u00f3 durante un mes.<\/p>\n

Los objetivos de la campa\u00f1a incluyen individuos y empresas en todo el mundo, con la telemetr\u00eda de Kaspersky encontrando mayores concentraciones de infecci\u00f3n en Rusia, Brasil, Alemania, Bielorrusia y Kazajst\u00e1n.<\/p>\n

“Este enfoque ayud\u00f3 a los actores de amenaza a aprovechar al m\u00e1ximo el implante minero al atacar a poderosas m\u00e1quinas de juego capaces de mantener la actividad minera”, los investigadores Tatyana Shishkova y Kirill Korchemny dicho<\/a> en un an\u00e1lisis publicado el martes.<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/div>\n

La campa\u00f1a de mineros de criptomonedas XMRIG emplea juegos populares de simulador y f\u00edsica como Beamng.Drive, Garry’s Mod, Dyson Sphere Program, Universo Sandbox y Plutocracy como se\u00f1uelos para iniciar una cadena de ataque sofisticada.<\/p>\n

Esto implica cargar instaladores de juegos envenenados dise\u00f1ados usando Inno Configuraci\u00f3n<\/a> En varios sitios de torrentes en septiembre de 2024, lo que indica que los actores de amenaza no identificados detr\u00e1s de la campa\u00f1a hab\u00edan planeado cuidadosamente los ataques.<\/p>\n

Los usuarios que terminan descargando estos lanzamientos, tambi\u00e9n llamados “reembolsos”, reciben una pantalla de instalador que los insta a continuar con el proceso de configuraci\u00f3n, durante el cual se extrae y ejecutan un gotero (“unrar.dll”).<\/p>\n

El archivo DLL contin\u00faa su ejecuci\u00f3n solo despu\u00e9s de ejecutar una serie de verificaciones para determinar si se ejecuta en un entorno de depuraci\u00f3n o sandboxed, una demostraci\u00f3n de su comportamiento altamente evasivo.<\/p>\n

Posteriormente, encuesta varios sitios como API.Myip [.]com, ip-api [.]com y ipwho [.]es obtener la direcci\u00f3n IP del usuario y estimar su ubicaci\u00f3n. Si falla en este paso, el pa\u00eds est\u00e1 predeterminado a China o Bielorrusia por razones que no est\u00e1n completamente claras.<\/p>\n

La siguiente fase implica reunir una huella digital de la m\u00e1quina, descifrar otro ejecutable (“mtx64.exe”), y escribir su contenido en un archivo en el disco llamado “Windows.Graphics.TumbnailHandler.dll” en el %Systemroot %o %Systemroot % Carpeta sysnative.<\/p>\n

Basado en un proyecto leg\u00edtimo de c\u00f3digo abierto llamado Epubshellextthumbnailhandler<\/a>MTX64 modifica la funcionalidad del manejador de miniatura de extensi\u00f3n de shell Windows para su propia ganancia cargando una carga \u00fatil de la pr\u00f3xima etapa, un ejecutable port\u00e1til llamado Kickstarter que luego desempaqueta una mancha encriptada integrada dentro de ella.<\/p>\n

El blob, como en el paso anterior, se escribe en el disco bajo el nombre “unix.directory.iconhandler.dll” en la carpeta%AppData Roaming Microsoft Credentials %InstallDate%.<\/p>\n

El DLL reci\u00e9n creado est\u00e1 configurado para recuperar el binario de etapa final de un servidor remoto que es responsable de ejecutar el implante minero, al tiempo que verifica continuamente la tarea de TaskMgr.exe y Procmon.exe en la lista de procesos de ejecuci\u00f3n. El artefacto se termina r\u00e1pidamente si se detecta alguno de los procesos.<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/div>\n

El minero es una versi\u00f3n ligeramente ajustada de XMRIG que utiliza una l\u00ednea de comando predefinida para iniciar el proceso de miner\u00eda en m\u00e1quinas con CPU que tienen 8 o m\u00e1s n\u00facleos.<\/p>\n

“Si hay menos de 8, el minero no comienza”, dijeron los investigadores. “Adem\u00e1s, el atacante eligi\u00f3 alojar un servidor de la piscina minera en su propia infraestructura en lugar de usar una p\u00fablica”.<\/p>\n

“XMRIG analiza la l\u00ednea de comando construida utilizando su funcionalidad incorporada. El minero tambi\u00e9n crea un hilo separado para verificar los monitores de proceso que se ejecutan en el sistema, utilizando el mismo m\u00e9todo que en la etapa anterior”.<\/p>\n

Starydobry permanece sin atribuir dada la falta de indicadores que podr\u00edan vincularlo a cualquier actor de Crimeware conocido. Dicho esto, la presencia de cadenas de idiomas rusos en las muestras alude a la posibilidad de un actor de amenaza de habla rusa.<\/p>\n

<\/p>\n

\u00bfEncontr\u00f3 este art\u00edculo interesante? Este art\u00edculo es una pieza contribuida de uno de nuestros valiosos socios.<\/span> S\u00e9guenos Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> Para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n