Киберугроза: Масштабная кампания распространения XMRig через пиратские игры

Киберугроза: Масштабная кампания распространения XMRig через пиратские игры

Источник: securelist.com

В рамках борьбы с киберпреступностью, начатой 31 декабря, была зафиксирована массовая кампания по распространению вредоносного ПО. Неизвестный хакер использовал ослабление бдительности пользователей во время праздничного сезона и искажал популярные игры на торрент-сайтах, внедряя криптоминер XMRig. Данная кампания затронула как частных лиц, так и предприятия в различных странах, включая Россию, Бразилию, Германию, Беларусь и Казахстан.

Механизм распространения вредоносного ПО

Вредоносная программа обнаруживается продуктами Касперского под различными идентификаторами, такими как Trojan.Win64.StaryDobry.* и Trojan-Dropper.Win64.StaryDobry.*. Начальная фаза кампании заключалась в:

  • Использовании популярных торрент-трекеров;
  • Распространении модифицированных версий игр, таких как BeamNG.drive и Dyson Sphere;
  • Создании сложной цепочки заражения, ведущей к внедрению майнера.

Технические детали заражения

Анализ кампании показал, что процесс заражения начинался с расшифровки файла unrar.dll, загруженного с тяжёлым ключом шифрования AES. После расшифровки извлекались дополнительные вредоносные файлы, помещенные во временный каталог. Вредоносная программа затем:

  • Запрашивала онлайн-сайты для определения IP-адреса пользователя;
  • При отсутствии информации о местоположении предполагала, что пользователь находится в Китае или Беларуси;
  • Извлекала уникальные идентификаторы компьютеров для дальнейшей обфускации.

Архитектура и функционал вредоносного ПО

Вредоносное ПО использует компонент, известный как EpubShellExtThumbnailHandler, маскирующийся под расширение Windows. Он выполняет вредоносные действия при взаимодействии с файлами .lnk. Эта архитектура позволяет ПО скрытно выполнять свои задачи, ожидая дальнейших команд от контролируемого сервера.

Кроме того, включенные функции позволяют:

  • Проверять и загружать последующие полезные данные;
  • Запускать майнинг в зависимости от мощности процессора, требуя минимум восемь ядер;
  • Управление собственным майнинг-пулом, что снижает заметность активности хакеров.

Широкий масштаб воздействия

Хотя кампания в первую очередь затрагивала пользователей, ищущих бесплатное ПО, также имели место случаи взлома компьютеров организаций. Это подчеркивает увеличенный масштаб угрозы. Отсутствие явных связей с известными преступными группировками затрудняет выявление авторов атаки, однако наличие русскоязычных элементов в дизайне может намекать на их причастность.

Таким образом, кампания StaryDobry представляет собой хорошо спланированную операцию, использующую привлекательность бесплатных игр, чтобы эффективно доставить имплантаты для майнинга, адаптированные для мощного игрового оборудования. Хакеры используют различные методы для скрытия своих действий от обнаружения, что делает эту угрозу особо актуальной для пользователей по всему миру.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: