{"id":1546743,"date":"2025-02-19T18:39:02","date_gmt":"2025-02-19T20:39:02","guid":{"rendered":"https:\/\/teknomers.com\/fr\/les-installateurs-de-jeux-transmissibles-deploient-un-mineur-de-crypto-monnaie-dans-une-attaque-starydobry-a-grande-echelle\/"},"modified":"2025-02-19T18:39:08","modified_gmt":"2025-02-19T20:39:08","slug":"les-installateurs-de-jeux-transmissibles-deploient-un-mineur-de-crypto-monnaie-dans-une-attaque-starydobry-a-grande-echelle","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/les-installateurs-de-jeux-transmissibles-deploient-un-mineur-de-crypto-monnaie-dans-une-attaque-starydobry-a-grande-echelle\/","title":{"rendered":"Les installateurs de jeux transmissibles d\u00e9ploient un mineur de crypto-monnaie dans une attaque Starydobry \u00e0 grande \u00e9chelle"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">19 f\u00e9vrier 2025<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">The Hacker News<\/span><\/span><span class=\"p-tags\">Windows Security \/ Malware<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/02\/Les-installateurs-de-jeux-transmissibles-deploient-un-mineur-de-crypto-monnaie.png\" style=\"display: block;  text-align: center; clear: left; float: left;\"><\/a><\/div>\n<p>Les utilisateurs qui sont \u00e0 la recherche de jeux populaires ont \u00e9t\u00e9 attir\u00e9s par le t\u00e9l\u00e9chargement des installateurs trojanis\u00e9s qui ont conduit au d\u00e9ploiement d&#8217;un mineur de crypto-monnaie sur des h\u00f4tes Windows compromis.<\/p>\n<p>L&#8217;activit\u00e9 \u00e0 grande \u00e9chelle a \u00e9t\u00e9 nomm\u00e9e <strong>Starydobry<\/strong> par la soci\u00e9t\u00e9 russe de cybers\u00e9curit\u00e9 Kaspersky, qui l&#8217;a d\u00e9tect\u00e9e pour la premi\u00e8re fois le 31 d\u00e9cembre 2024. Elle a dur\u00e9 un mois.<\/p>\n<p>Les cibles de la campagne comprennent des individus et des entreprises du monde entier, la t\u00e9l\u00e9m\u00e9trie de Kaspersky trouvant des concentrations d&#8217;infection plus \u00e9lev\u00e9es en Russie, au Br\u00e9sil, en Allemagne, au B\u00e9larus et au Kazakhstan.<\/p>\n<p>&#8220;Cette approche a aid\u00e9 les acteurs \u00e0 la menace \u00e0 tirer le meilleur parti de l&#8217;implant mineur en ciblant de puissantes machines de jeu capables de maintenir une activit\u00e9 mini\u00e8re&#8221;, les chercheurs Tatyana Shishkova et Kirill Korchemny <a rel=\"noopener nofollow\" href=\"https:\/\/securelist.com\/starydobry-campaign-spreads-xmrig-miner-via-torrents\/115509\/\" target=\"_blank\">dit<\/a> Dans une analyse publi\u00e9e mardi.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/encrypted-attacks-report-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Cybers\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/02\/Meta-confirme-lattaque-de-logiciels-spyware-zero-clique.jpg\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>La campagne de minerage de crypto-monnaie XMRIG utilise des jeux de simulation et de physique populaires comme Beamng.Drive, Garry&#8217;s Mod, Dyson Sphere Program, Universe Sandbox et Plutocratie comme des leurres pour initier une cha\u00eene d&#8217;attaque sophistiqu\u00e9e.<\/p>\n<p>Cela implique le t\u00e9l\u00e9chargement des installateurs de jeux empoisonn\u00e9s fabriqu\u00e9s en utilisant <a rel=\"noopener nofollow\" href=\"https:\/\/jrsoftware.org\/isinfo.php\" target=\"_blank\">Configuration inno<\/a> Sur divers sites torrent en septembre 2024, indiquant que les acteurs de menace non identifi\u00e9s derri\u00e8re la campagne avaient soigneusement planifi\u00e9 les attaques.<\/p>\n<p>Les utilisateurs qui finissent par t\u00e9l\u00e9charger ces versions, \u00e9galement appel\u00e9s &#8220;Repacks&#8221; sont desservis un \u00e9cran d&#8217;installation qui les exhorte \u00e0 proc\u00e9der au processus de configuration, au cours duquel un compte-gouttes (&#8220;unrar.dll&#8221;) est extrait et ex\u00e9cut\u00e9.<\/p>\n<p>Le fichier DLL continue son ex\u00e9cution uniquement apr\u00e8s avoir ex\u00e9cut\u00e9 une s\u00e9rie de v\u00e9rifications pour d\u00e9terminer si elle s&#8217;ex\u00e9cute dans un environnement de d\u00e9bogage ou de sable, une d\u00e9monstration de son comportement tr\u00e8s \u00e9vasif.<\/p>\n<p>Par la suite, il interroge divers sites comme API.Myip [.]com, ip-api [.]com, et ipwho [.]est d&#8217;obtenir l&#8217;adresse IP de l&#8217;utilisateur et d&#8217;estimer son emplacement. S&#8217;il \u00e9choue \u00e0 cette \u00e9tape, le pays est par d\u00e9faut en Chine ou en Bi\u00e9lorussie pour des raisons qui ne sont pas totalement claires.<\/p>\n<p>La phase suivante implique de rassembler une empreinte digitale de la machine, de d\u00e9crypter un autre ex\u00e9cutable (&#8220;mtx64.exe&#8221;), et d&#8217;\u00e9crire son contenu dans un fichier sur disque nomm\u00e9 &#8220;windows.graphics.thumbnailhandler.dll&#8221; dans le% systemroot% ou% systemroot. %  Sysnative dossier.<\/p>\n<p>Bas\u00e9 sur un projet d&#8217;oer-source l\u00e9gitime appel\u00e9 <a rel=\"noopener nofollow\" href=\"https:\/\/github.com\/Aeroblast\/EpubThumbnailHandler\" target=\"_blank\">EPubshelextThumbnailHandler<\/a>MTX64 Modifie la fonctionnalit\u00e9 de gestion des miniatures d&#8217;extension de Shell Windows pour son propre gain en chargeant une charge utile \u00e0 la prochaine \u00e9tape, un ex\u00e9cutable portable nomm\u00e9 Kickstarter qui d\u00e9balle ensuite un blob crypt\u00e9 incorpor\u00e9.<\/p>\n<p>Le blob, comme \u00e0 l&#8217;\u00e9tape pr\u00e9c\u00e9dente, est \u00e9crit sur le disque sous le nom &#8220;Unix.Directory.IconHandler.dll&#8221; dans le dossier% AppData  Roaming  Microsoft  Credentials % InstallDate% .<\/p>\n<p>La DLL nouvellement cr\u00e9\u00e9e est configur\u00e9e pour r\u00e9cup\u00e9rer le binaire final \u00e0 partir d&#8217;un serveur distant responsable de l&#8217;ex\u00e9cution de l&#8217;implant de mineur, tout en v\u00e9rifiant en continu TaskMgr.exe et Procmon.exe dans la liste des processus en cours d&#8217;ex\u00e9cution. L&#8217;artefact est rapidement termin\u00e9 si l&#8217;un des processus est d\u00e9tect\u00e9.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/saas-security-v2-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Cybers\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/02\/1738603713_19_PYPI-introduit-le-statut-darchives-pour-alerter-les-utilisateurs-sur.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Le mineur est une version l\u00e9g\u00e8rement modifi\u00e9e de XMRIG qui utilise une ligne de commande pr\u00e9d\u00e9finie pour initier le processus d&#8217;extraction sur les machines avec des processeurs qui ont 8 c\u0153urs ou plus.<\/p>\n<p>&#8220;S&#8217;il y en a moins de 8, le mineur ne commence pas&#8221;, ont d\u00e9clar\u00e9 les chercheurs. &#8220;De plus, l&#8217;attaquant a choisi d&#8217;h\u00e9berger un serveur de pool minier dans sa propre infrastructure au lieu d&#8217;utiliser un public.&#8221;<\/p>\n<p>&#8220;XMRIG analyse la ligne de commande construite en utilisant sa fonctionnalit\u00e9 int\u00e9gr\u00e9e. Le mineur cr\u00e9e \u00e9galement un thread s\u00e9par\u00e9 pour v\u00e9rifier les moniteurs de processus en cours d&#8217;ex\u00e9cution dans le syst\u00e8me, en utilisant la m\u00eame m\u00e9thode que dans l&#8217;\u00e9tape pr\u00e9c\u00e9dente.&#8221;<\/p>\n<p>Starydobry reste non attribu\u00e9 compte tenu du manque d&#8217;indicateurs qui pourraient le lier \u00e0 tous les acteurs connus de Crimeware. Cela dit, la pr\u00e9sence de cordes linguistiques russes dans les \u00e9chantillons fait allusion \u00e0 la possibilit\u00e9 d&#8217;un acteur de menace russe.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant? <span class=\"\">Cet article est un article contribu\u00e9 de l&#8217;un de nos pr\u00e9cieux partenaires.<\/span> Suivez-nous <a rel=\"noopener nofollow\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gazouillement <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"noopener nofollow\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">Liendin<\/a> Pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2025\/02\/trojanized-game-installers-deploy.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80219 f\u00e9vrier 2025\ue804The Hacker NewsWindows Security \/ Malware Les utilisateurs qui sont \u00e0 la recherche de jeux populaires ont \u00e9t\u00e9 attir\u00e9s par le t\u00e9l\u00e9chargement des installateurs trojanis\u00e9s qui ont conduit au d\u00e9ploiement d&#8217;un mineur de crypto-monnaie sur des h\u00f4tes Windows compromis. L&#8217;activit\u00e9 \u00e0 grande \u00e9chelle a \u00e9t\u00e9 nomm\u00e9e Starydobry par la soci\u00e9t\u00e9 russe de cybers\u00e9curit\u00e9 [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1546744,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[274266,274265,1933,4168,1966,79002,274264,4161,274263,6124,429,16028,1741,1740,52092,2583,65,274267,4517,4160,238617,246491,4172,281556,79016,62941,196,4166,4164],"class_list":["post-1546743","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-actualites-de-piratage","tag-actualites-des-pirates","tag-attaque","tag-comment-pirater","tag-cryptomonnaie","tag-cyber-security-news","tag-cyber-security-news-aujourdhui","tag-cyber-mises-a-jour","tag-cyber-nouvelles","tag-cyberattaques","tag-dans","tag-deploient","tag-echelle","tag-grande","tag-installateurs","tag-jeux","tag-les","tag-malware-ransomware","tag-mineur","tag-mises-a-jour-de-la-cybersecurite","tag-securite-de-linformation","tag-securite-du-reseau","tag-securite-informatique","tag-starydobry","tag-the-hacker-news","tag-transmissibles","tag-une","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1546743","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=1546743"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1546743\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/1546744"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=1546743"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=1546743"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=1546743"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}