一场名为“StaryDobry”的大规模恶意软件活动以破解游戏《Garry’s Mod, BeamNG》的木马版本为目标,攻击全球玩家。
这些游戏都是Steam上拥有数十万“绝对正面”评价的顶级游戏,因此它们很容易成为恶意活动的目标。
值得注意的是,据报道,在2024年6月,一个带花边的光束模型被用作迪士尼黑客攻击的初始访问向量。
根据卡巴斯基的说法,StaryDobry活动始于2024年12月下旬,结束于2025年1月27日。它主要影响来自德国、俄罗斯、巴西、白俄罗斯和哈萨克斯坦的用户。
攻击者在2024年9月提前几个月将受感染的游戏安装程序上传到torrent网站,并在假期期间触发游戏中的有效载荷,从而降低了检测的可能性。
StaryDobry活动时间表
![名为“StaryDobry”的大规模恶意软件活动爆发 名为StaryDobry的大规模恶意软件活动爆发]()
StaryDobry感染链
StaryDobry活动使用了一个多阶段感染链,最终以XMRig加密程序感染告终。用户从种子网站下载了木马化的游戏安装程序,这些程序看起来都很正常。
活动中使用的恶意种子之一
在游戏安装过程中,恶意软件卸载程序(unrar.dll)被解包并在后台启动,在继续之前,它会检查它是否在虚拟机,沙箱或调试器上运行。
恶意软件表现出高度规避行为,如果它检测到任何安全工具,立即终止,可能是为了避免损害声誉。
Anti-debug检查
接下来,恶意软件使用‘regsvr32.exe’进行持久化注册,并收集详细的系统信息,包括操作系统版本、国家、CPU、 RAM和GPU详细信息,并将其发送到pinokino[.]fun的命令和控制(C2)服务器。
最终,dropper解密并将恶意软件加载程序(MTX64.exe)安装在系统目录中。
加载程序冒充Windows系统文件,进行资源欺骗,使其看起来是合法的,并创建一个计划任务,在重新启动之间持久化。如果主机至少有8个CPU内核,它将下载并运行XMRig挖掘器。
StaryDobry中使用的XMRig挖掘器是Monero挖掘器的修改版本,它在执行之前在内部构造其配置,并且不访问参数。
矿工始终维护一个单独的线程,监视在受感染的机器上运行的安全工具,如果检测到任何进程监视工具,它将关闭自己。
这些攻击中使用的XMRig连接到私有挖矿服务器,而不是公共矿池,这使得收益更难追踪。
卡巴斯基无法将这些攻击归因于任何已知的威胁组织。StaryDobry往往是一个一次性的活动。为了植入矿工,攻击者通常会实施一个复杂的执行链,利用寻求免费游戏的用户。这种方法可以帮助威胁者能够维持采矿活动的强大游戏机,最大限度地利用了矿工植入物。
参考及来源:https://www.bleepingcomputer.com/news/security/cracked-garrys-mod-beamngdrive-games-infect-gamers-with-miners/
原文始发于微信公众号(嘶吼专业版):名为“StaryDobry”的大规模恶意软件活动爆发
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论