名为StaryDobry的大规模恶意软件活动爆发

admin 2025年2月27日23:32:50评论27 views字数 1219阅读4分3秒阅读模式

名为StaryDobry的大规模恶意软件活动爆发

一场名为“StaryDobry”的大规模恶意软件活动以破解游戏《Garry’s Mod, BeamNG》的木马版本为目标,攻击全球玩家。

这些游戏都是Steam上拥有数十万“绝对正面”评价的顶级游戏,因此它们很容易成为恶意活动的目标。

值得注意的是,据报道,在2024年6月,一个带花边的光束模型被用作迪士尼黑客攻击的初始访问向量。

根据卡巴斯基的说法,StaryDobry活动始于2024年12月下旬,结束于2025年1月27日。它主要影响来自德国、俄罗斯、巴西、白俄罗斯和哈萨克斯坦的用户。

攻击者在2024年9月提前几个月将受感染的游戏安装程序上传到torrent网站,并在假期期间触发游戏中的有效载荷,从而降低了检测的可能性。

名为StaryDobry的大规模恶意软件活动爆发

StaryDobry活动时间表

名为StaryDobry的大规模恶意软件活动爆发
StaryDobry感染链

StaryDobry活动使用了一个多阶段感染链,最终以XMRig加密程序感染告终。用户从种子网站下载了木马化的游戏安装程序,这些程序看起来都很正常。

名为StaryDobry的大规模恶意软件活动爆发

活动中使用的恶意种子之一

在游戏安装过程中,恶意软件卸载程序(unrar.dll)被解包并在后台启动,在继续之前,它会检查它是否在虚拟机,沙箱或调试器上运行。

恶意软件表现出高度规避行为,如果它检测到任何安全工具,立即终止,可能是为了避免损害声誉。

名为StaryDobry的大规模恶意软件活动爆发

Anti-debug检查

接下来,恶意软件使用‘regsvr32.exe’进行持久化注册,并收集详细的系统信息,包括操作系统版本、国家、CPU、 RAM和GPU详细信息,并将其发送到pinokino[.]fun的命令和控制(C2)服务器。

最终,dropper解密并将恶意软件加载程序(MTX64.exe)安装在系统目录中。

加载程序冒充Windows系统文件,进行资源欺骗,使其看起来是合法的,并创建一个计划任务,在重新启动之间持久化。如果主机至少有8个CPU内核,它将下载并运行XMRig挖掘器。

StaryDobry中使用的XMRig挖掘器是Monero挖掘器的修改版本,它在执行之前在内部构造其配置,并且不访问参数。

矿工始终维护一个单独的线程,监视在受感染的机器上运行的安全工具,如果检测到任何进程监视工具,它将关闭自己。

这些攻击中使用的XMRig连接到私有挖矿服务器,而不是公共矿池,这使得收益更难追踪。

卡巴斯基无法将这些攻击归因于任何已知的威胁组织。StaryDobry往往是一个一次性的活动。为了植入矿工,攻击者通常会实施一个复杂的执行链,利用寻求免费游戏的用户。这种方法可以帮助威胁者能够维持采矿活动的强大游戏机,最大限度地利用了矿工植入物。

参考及来源:https://www.bleepingcomputer.com/news/security/cracked-garrys-mod-beamngdrive-games-infect-gamers-with-miners/

名为StaryDobry的大规模恶意软件活动爆发

名为StaryDobry的大规模恶意软件活动爆发

原文始发于微信公众号(嘶吼专业版):名为“StaryDobry”的大规模恶意软件活动爆发

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年2月27日23:32:50
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   名为StaryDobry的大规模恶意软件活动爆发https://cn-sec.com/archives/3777745.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息