19 février 2025The Hacker NewsWindows Security / Malware

Les utilisateurs qui sont à la recherche de jeux populaires ont été attirés par le téléchargement des installateurs trojanisés qui ont conduit au déploiement d’un mineur de crypto-monnaie sur des hôtes Windows compromis.

L’activité à grande échelle a été nommée Starydobry par la société russe de cybersécurité Kaspersky, qui l’a détectée pour la première fois le 31 décembre 2024. Elle a duré un mois.

Les cibles de la campagne comprennent des individus et des entreprises du monde entier, la télémétrie de Kaspersky trouvant des concentrations d’infection plus élevées en Russie, au Brésil, en Allemagne, au Bélarus et au Kazakhstan.

“Cette approche a aidé les acteurs à la menace à tirer le meilleur parti de l’implant mineur en ciblant de puissantes machines de jeu capables de maintenir une activité minière”, les chercheurs Tatyana Shishkova et Kirill Korchemny dit Dans une analyse publiée mardi.

Cybersécurité

La campagne de minerage de crypto-monnaie XMRIG utilise des jeux de simulation et de physique populaires comme Beamng.Drive, Garry’s Mod, Dyson Sphere Program, Universe Sandbox et Plutocratie comme des leurres pour initier une chaîne d’attaque sophistiquée.

Cela implique le téléchargement des installateurs de jeux empoisonnés fabriqués en utilisant Configuration inno Sur divers sites torrent en septembre 2024, indiquant que les acteurs de menace non identifiés derrière la campagne avaient soigneusement planifié les attaques.

Les utilisateurs qui finissent par télécharger ces versions, également appelés “Repacks” sont desservis un écran d’installation qui les exhorte à procéder au processus de configuration, au cours duquel un compte-gouttes (“unrar.dll”) est extrait et exécuté.

Le fichier DLL continue son exécution uniquement après avoir exécuté une série de vérifications pour déterminer si elle s’exécute dans un environnement de débogage ou de sable, une démonstration de son comportement très évasif.

Par la suite, il interroge divers sites comme API.Myip [.]com, ip-api [.]com, et ipwho [.]est d’obtenir l’adresse IP de l’utilisateur et d’estimer son emplacement. S’il échoue à cette étape, le pays est par défaut en Chine ou en Biélorussie pour des raisons qui ne sont pas totalement claires.

La phase suivante implique de rassembler une empreinte digitale de la machine, de décrypter un autre exécutable (“mtx64.exe”), et d’écrire son contenu dans un fichier sur disque nommé “windows.graphics.thumbnailhandler.dll” dans le% systemroot% ou% systemroot. % Sysnative dossier.

Basé sur un projet d’oer-source légitime appelé EPubshelextThumbnailHandlerMTX64 Modifie la fonctionnalité de gestion des miniatures d’extension de Shell Windows pour son propre gain en chargeant une charge utile à la prochaine étape, un exécutable portable nommé Kickstarter qui déballe ensuite un blob crypté incorporé.

Le blob, comme à l’étape précédente, est écrit sur le disque sous le nom “Unix.Directory.IconHandler.dll” dans le dossier% AppData Roaming Microsoft Credentials % InstallDate% .

La DLL nouvellement créée est configurée pour récupérer le binaire final à partir d’un serveur distant responsable de l’exécution de l’implant de mineur, tout en vérifiant en continu TaskMgr.exe et Procmon.exe dans la liste des processus en cours d’exécution. L’artefact est rapidement terminé si l’un des processus est détecté.

Cybersécurité

Le mineur est une version légèrement modifiée de XMRIG qui utilise une ligne de commande prédéfinie pour initier le processus d’extraction sur les machines avec des processeurs qui ont 8 cœurs ou plus.

“S’il y en a moins de 8, le mineur ne commence pas”, ont déclaré les chercheurs. “De plus, l’attaquant a choisi d’héberger un serveur de pool minier dans sa propre infrastructure au lieu d’utiliser un public.”

“XMRIG analyse la ligne de commande construite en utilisant sa fonctionnalité intégrée. Le mineur crée également un thread séparé pour vérifier les moniteurs de processus en cours d’exécution dans le système, en utilisant la même méthode que dans l’étape précédente.”

Starydobry reste non attribué compte tenu du manque d’indicateurs qui pourraient le lier à tous les acteurs connus de Crimeware. Cela dit, la présence de cordes linguistiques russes dans les échantillons fait allusion à la possibilité d’un acteur de menace russe.

Vous avez trouvé cet article intéressant? Cet article est un article contribué de l’un de nos précieux partenaires. Suivez-nous Gazouillement et Liendin Pour lire plus de contenu exclusif que nous publions.





ttn-fr-57