Cotización de descuento para licencias múltiples
Base de Datos de Amenazas Software malicioso Ataque de Stary Dobry

Ataque de Stary Dobry

Por Mezo en Software malicioso
Traducir a:
Español

Los jugadores que buscan juegos populares de simulación y basados en la física pueden haber instalado sin saberlo un minero de criptomonedas oculto en sus sistemas Windows. Los investigadores de ciberseguridad identificaron por primera vez esta operación a gran escala, con el nombre en código StaryDobry, a fines de diciembre de 2024. Según se informa, la campaña duró aproximadamente un mes y comprometió numerosas máquinas en todo el mundo.

Maquinas de alto rendimiento explotadas para la minería

La campaña se dirigió principalmente a usuarios individuales y empresas en varias regiones, con tasas de infección notables en Rusia, Brasil, Alemania, Bielorrusia y Kazajistán. Al centrarse en configuraciones de juegos con hardware potente, los atacantes maximizaron la eficiencia de sus operaciones de minería encubierta.

Juegos populares utilizados como señuelos

El ataque se basó en camuflar los instaladores amenazantes como copias legítimas de juegos conocidos. Entre los títulos utilizados como cebo se encontraban BeamNG.drive, Garry's Mod, Dyson Sphere Program, Universe Sandbox y Plutocracy. Los actores de la amenaza subieron estos instaladores troyanizados a sitios de torrents ya en septiembre de 2024, lo que indica que la operación fue cuidadosamente premeditada.

Los instaladores infectados desencadenan una cadena de ataques sigilosos

Los usuarios desprevenidos que descargaron estos llamados "repacks" se encontraron con lo que parecía ser un proceso de instalación estándar. Durante la instalación, se implementó y ejecutó en segundo plano un archivo dropper oculto ("unrar.dll"), lo que inició la siguiente etapa de la infección.

Técnicas avanzadas de evasión en acción

Antes de continuar, el programa realizó varias comprobaciones para asegurarse de que no se estaba ejecutando en un entorno virtualizado o aislado, lo que demuestra sus sofisticadas capacidades de evasión. Luego se puso en contacto con servicios externos como api.myip.com, ip-api.com e ipwho.is para recopilar direcciones IP y determinar las ubicaciones de los usuarios. Si este paso fallaba, se le asignaba al sistema una ubicación predeterminada de China o Bielorrusia por razones que aún no están claras.

Un proceso de ejecución complejo de múltiples etapas

Una vez que se tomó la huella digital de la máquina, el programa descifró y ejecutó otro componente llamado 'MTX64.exe'. Este ejecutable guardó su contenido como 'Windows.Graphics.ThumbnailHandler.dll' en un directorio del sistema. Basado en un proyecto legítimo de código abierto, EpubShellExtThumbnailHandler, el ejecutable hizo un uso indebido de la funcionalidad de la extensión de Windows Shell para cargar la siguiente carga útil, 'Kickstarter'.

El componente Kickstarter extrajo un blob de datos cifrados y lo escribió en el disco con el nombre 'Unix.Directory.IconHandler.dll' en una carpeta oculta dentro del directorio AppData del usuario. Este nuevo archivo luego recuperó la carga útil de la etapa final desde un servidor remoto, que contenía el minero de criptomonedas real.

Implementación y monitoreo de procesos de Stealthy Miner

La ejecución del minero se controlaba de cerca para evitar su detección. Se verificaban continuamente las herramientas de monitoreo del sistema, como el Administrador de tareas ('taskmgr.exe') y el Monitor de procesos ('procmon.exe'). Si se detectaba alguno de estos procesos, el minero se terminaba de inmediato para evadir el escrutinio.

XMRig optimizado para minería selectiva

En el centro de la operación se encontraba una versión personalizada del minero XMRig . Solo se activaba en CPU con al menos ocho núcleos, lo que garantizaba que las máquinas comprometidas tuvieran suficiente potencia de procesamiento para minar de manera eficiente. Además, en lugar de depender de un grupo de minería público, los atacantes configuraron su propio servidor privado para dirigir las ganancias de la minería exclusivamente a su infraestructura.

XMRig aprovechó su funcionalidad integrada para analizar las instrucciones de la línea de comandos y, al mismo tiempo, mantener un hilo independiente para verificar las herramientas de monitoreo activas. Este mecanismo de autodefensa persistente ayudó a mantener la actividad minera oculta al usuario.

Una amenaza misteriosa con pistas rusas

A pesar de la escala y la sofisticación de la operación, las identidades de los perpetradores siguen siendo desconocidas. Sin embargo, los investigadores descubrieron cadenas en ruso incrustadas en los componentes de la campaña, lo que sugiere que el ataque puede haber sido originado por un actor de amenazas de habla rusa.

La campaña StaryDobry destaca los riesgos asociados con la descarga de software de fuentes no verificadas. Al utilizar los instaladores de juegos como cebo, los cibercriminales lograron implementar un minero oculto mientras mantenían una presencia sigilosa en los sistemas comprometidos. Este incidente subraya la importancia de tener precaución al adquirir software en línea, ya que los actores de amenazas continúan refinando sus tácticas engañosas.

Tendencias

Mas Visto

Cargando...