近期,一场名为“StaryDobry”的复杂网络攻击活动引发关注,攻击者利用热门游戏的篡改版本传播恶意软件,目标是感染全球用户的计算机系统。该活动最早于2024年12月31日被检测到,攻击者通过在热门游戏如《BeamNG.drive》《Garry’s Mod》和《Dyson Sphere Program》的安装包中嵌入恶意代码,利用用户对这些游戏的信任,通过种子网站传播这些被篡改的游戏安装包。
这些被篡改的游戏安装包中隐藏了一个恶意载荷,其主要目的是绕过安全检测并在受害者的系统中安装一款名为XMRig的加密货币矿工程序。攻击者利用游戏系统高性能的硬件资源来挖掘加密货币,从而获取经济利益。
攻击者利用节假日种子网站流量激增的时机,早在2024年9月就开始上传这些恶意游戏安装包。根据Securelist的安全分析,受害者主要集中在俄罗斯、巴西、德国、白俄罗斯和哈萨克斯坦。
恶意软件的传播链从一个看似合法的安装程序开始,该程序使用Inno Setup创建,并在执行时通过AES算法解密和提取恶意文件。其关键组件包括一个名为unrar.dll的dropper,它能够解密并执行额外的有效载荷,并通过反调试检查来躲避检测。
恶意软件还会收集系统指纹信息,如MachineGUID、内存大小、处理器数量和显卡详情等,并将这些信息通过Base64编码发送到命令与控制(C2)服务器。为了进一步隐藏自身,恶意软件会创建两个文件:一个用于存储指纹信息,另一个作为诱饵文件。
最终的有效载荷MTX64.exe通过AES-128解密,并伪装成合法的Windows DLL文件,通过伪造资源属性(如公司名称和文件版本)来混淆视听。此外,恶意软件还会更改文件创建时间戳,以进一步隐藏其存在。
XMRig矿工程序会根据系统规格构建预定义的命令行,并避免在少于八个CPU核心的系统上运行,以确保最佳的挖矿性能。与典型的挖矿活动不同,此次攻击者使用了自己的挖矿基础设施,而不是公共矿池,以避免被检测到。
为了保持隐蔽性,攻击者还使用了DNS-over-HTTPS(DoH)技术进行加密通信,这使得网络流量对传统监控工具来说变得不可见,从而增加了检测难度。
通过利用用户对热门游戏的信任以及先进的规避技术,攻击者成功地在不被发现的情况下渗透系统,并通过加密挖矿获取经济利益。
﹀
球分享
球点赞
球在看
点击阅读原文查看更多
原文始发于微信公众号(看雪学苑):热门游戏安装包暗藏猫腻?黑客篡改传播恶意软件
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论