Los usuarios que están atentos a los juegos populares se atrajeron a la descarga de instaladores troyanos que condujeron a la implementación de un minero de criptomonedas en hosts de Windows comprometidos.
La actividad a gran escalera ha sido nombrada en código Arcaico Por la compañía rusa de ciberseguridad Kaspersky, que lo detectó por primera vez el 31 de diciembre de 2024. Duró durante un mes.
Los objetivos de la campaña incluyen individuos y empresas en todo el mundo, con la telemetría de Kaspersky encontrando mayores concentraciones de infección en Rusia, Brasil, Alemania, Bielorrusia y Kazajstán.
“Este enfoque ayudó a los actores de amenaza a utilizar al mayor el implante minero al atacar a poderosas máquinas de bisagra capaces de perdurar la actividad minera”, dijeron los investigadores Tatyana Shishkova y Kirill Korchemny en un estudio publicado el martes.
La campaña de mineros de criptomonedas XMRIG emplea juegos populares de simulador y física como Beamng.Drive, Garry’s Mod, Dyson Sphere Program, Universo Sandbox y Plutocracy como señuelos para iniciar una prisión de ataque sofisticada.
Esto implica cargar instaladores de juegos envenenados diseñados con la configuración de Inno en varios sitios de torrentes en septiembre de 2024, lo que indica que los actores de amenaza no identificados detrás de la campaña habían planeado cuidadosamente los ataques.
Los usuarios que terminan descargando estos lanzamientos, asimismo llamados “reembolsos”, reciben una pantalla de instalador que los insta a continuar con el proceso de configuración, durante el cual se extrae y ejecutan un dosificador (“unrar.dll”).
El archivo DLL continúa su ejecución solo posteriormente de ejecutar una serie de verificaciones para determinar si se ejecuta en un entorno de depuración o sandboxed, una demostración de su comportamiento enormemente evasivo.
Luego, sondeo varios sitios como API.Myip (.) Com, IP-API (.) Com e IPWHO (.) Es para obtener la dirección IP del agraciado y estimar su ubicación. Si defecto en este paso, el país está predeterminado a China o Bielorrusia por razones que no están completamente claras.
La ulterior grado implica reunir una huella digital de la máquina, descifrar otro ejecutable (“mtx64.exe”), y escribir su contenido en un archivo en el disco llamado “Windows.Graphics.TumbnailHandler.dll” en el %Systemroot %o %Systemroot % Carpeta sysnative.
Basado en un esquema verdadero de código amplio llamado EpubshellextThumbnailHandler, MTX64 modifica la funcionalidad del regulador de miniatura de extensión de shell Windows para su propia lucro al cargar una carga útil de la próxima etapa, un ejecutable portátil llamado Kickstarter que luego impone un liga encriptado incrustado en su interior.
El blob, como en el paso aludido, se escribe en el disco bajo el nombre “unix.directory.iconhandler.dll” en la carpeta%AppData Roaming Microsoft Credentials %InstallDate%.
El DLL recién creado está configurado para recuperar el binario de etapa final de un servidor remoto que es responsable de ejecutar el implante minero, al tiempo que verifica continuamente la tarea de TaskMgr.exe y Procmon.exe en la registro de procesos de ejecución. El artefacto se termina rápidamente si se detecta alguno de los procesos.
El minero es una traducción levemente ajustada de XMRIG que utiliza una dirección de comando predefinida para iniciar el proceso de minería en máquinas con CPU que tienen 8 o más núcleos.
“Si hay menos de 8, el minero no comienza”, dijeron los investigadores. “Por otra parte, el atacante eligió penetrar un servidor de la piscina minera en su propia infraestructura en puesto de usar una pública”.
“XMRIG analiza la dirección de comando construida utilizando su funcionalidad incorporada. El minero asimismo crea un hilo separado para probar los monitores de proceso que se ejecutan en el sistema, utilizando el mismo método que en la etapa aludido”.
Starydobry permanece sin atribuir dada la error de indicadores que podrían vincularlo a cualquier actor de Crimeware conocido. Dicho esto, la presencia de cadenas de idiomas rusos en las muestras alude a la posibilidad de un actor de amenaza de deje rusa.
