StaryDobry-Angriff
Spieler, die nach beliebten Simulations- und Physikspielen suchen, haben möglicherweise unwissentlich einen versteckten Kryptowährungs-Miner auf ihren Windows-Systemen installiert. Cybersicherheitsforscher entdeckten diese groß angelegte Operation mit dem Codenamen StaryDobry erstmals Ende Dezember 2024. Die Kampagne dauerte Berichten zufolge etwa einen Monat und kompromittierte zahlreiche Rechner weltweit.
Inhaltsverzeichnis
Hochleistungsmaschinen im Bergbau
Die Kampagne zielte in erster Linie auf einzelne Benutzer und Unternehmen in mehreren Regionen ab, wobei die Infektionsraten in Russland, Brasilien, Deutschland, Weißrussland und Kasachstan besonders hoch waren. Indem sie sich auf Gaming-Setups mit leistungsstarker Hardware konzentrierten, maximierten die Angreifer die Effizienz ihrer verdeckten Mining-Operationen.
Beliebte Spiele als Köder
Der Angriff basierte darauf, bedrohliche Installationsprogramme als legitime Kopien bekannter Spiele zu tarnen. Zu den als Köder verwendeten Titeln gehörten BeamNG.drive, Garry's Mod, Dyson Sphere Program, Universe Sandbox und Plutocracy. Die Bedrohungsakteure luden diese mit Trojanern infizierten Installationsprogramme bereits im September 2024 auf Torrent-Sites hoch, was darauf hindeutet, dass die Operation sorgfältig geplant war.
Infizierte Installationsprogramme lösen eine versteckte Angriffskette aus
Ahnungslose Benutzer, die diese sogenannten „Repacks“ heruntergeladen haben, wurden mit einem scheinbar standardmäßigen Installationsprozess konfrontiert. Während der Installation wurde eine versteckte Dropper-Datei („unrar.dll“) bereitgestellt und im Hintergrund ausgeführt, wodurch die nächste Phase der Infektion eingeleitet wurde.
Fortgeschrittene Ausweichtechniken in Aktion
Bevor der Dropper fortfuhr, führte er mehrere Prüfungen durch, um sicherzustellen, dass er nicht in einer virtualisierten oder Sandbox-Umgebung ausgeführt wurde, und demonstrierte damit seine ausgeklügelten Ausweichmöglichkeiten. Anschließend kontaktierte er externe Dienste wie api.myip.com, ip-api.com und ipwho.is, um IP-Adressen zu sammeln und Benutzerstandorte zu ermitteln. Wenn dieser Schritt fehlschlug, wurde dem System aus noch unklaren Gründen ein Standardstandort in China oder Weißrussland zugewiesen.
Ein komplexer mehrstufiger Ausführungsprozess
Nachdem der Computer mit einem Fingerabdruck versehen war, entschlüsselte und führte der Dropper eine weitere Komponente namens „MTX64.exe“ aus. Diese ausführbare Datei speicherte ihren Inhalt als „Windows.Graphics.ThumbnailHandler.dll“ in einem Systemverzeichnis. Basierend auf einem legitimen Open-Source-Projekt, EpubShellExtThumbnailHandler, missbrauchte die ausführbare Datei die Windows Shell Extension-Funktionalität, um die folgende Nutzlast zu laden: „Kickstarter“.
Die Kickstarter-Komponente extrahierte einen verschlüsselten Datenblob und schrieb ihn unter dem Namen „Unix.Directory.IconHandler.dll“ in einen versteckten Ordner im AppData-Verzeichnis des Benutzers auf die Festplatte. Diese neue Datei rief dann die Nutzlast der letzten Stufe von einem Remote-Server ab, der den eigentlichen Kryptowährungs-Miner enthielt.
Der Stealthy Miner - Bereitstellung und Prozessüberwachung
Die Ausführung des Miners wurde genau überwacht, um eine Entdeckung zu vermeiden. Er suchte kontinuierlich nach Systemüberwachungstools wie Task Manager („taskmgr.exe“) und Process Monitor („procmon.exe“). Wenn einer dieser Prozesse entdeckt wurde, wurde der Miner sofort beendet, um einer genaueren Untersuchung zu entgehen.
XMRig für selektives Mining optimiert
Kern der Operation war eine angepasste Version des XMRig- Miners. Dieser wurde nur auf CPUs mit mindestens acht Kernen aktiviert, um sicherzustellen, dass die kompromittierten Maschinen über genügend Rechenleistung verfügten, um effizient zu minen. Anstatt sich auf einen öffentlichen Mining-Pool zu verlassen, richteten die Angreifer außerdem einen eigenen privaten Server ein, um die Mining-Gewinne ausschließlich an ihre Infrastruktur zu leiten.
XMRig nutzte seine integrierte Funktionalität zum Parsen von Befehlszeilenanweisungen und verwaltete gleichzeitig einen separaten Thread, um nach aktiven Überwachungstools zu suchen. Dieser dauerhafte Selbstverteidigungsmechanismus half dabei, die Mining-Aktivitäten vor dem Benutzer zu verbergen.
Eine mysteriöse Bedrohung mit russischen Hinweisen
Trotz des Ausmaßes und der Raffinesse der Operation ist die Identität der Täter unbekannt. Die Forscher entdeckten jedoch in den Komponenten der Kampagne eingebettete russischsprachige Zeichenfolgen, was darauf hindeutet, dass der Angriff möglicherweise von einem russischsprachigen Bedrohungsakteur ausging.
Die StaryDobry-Kampagne verdeutlicht die Risiken, die mit dem Herunterladen von Software aus nicht verifizierten Quellen verbunden sind. Indem sie Spiele-Installer als Köder nutzten, gelang es Cyberkriminellen, einen versteckten Miner einzusetzen und gleichzeitig eine heimliche Präsenz auf kompromittierten Systemen aufrechtzuerhalten. Dieser Vorfall unterstreicht, wie wichtig Vorsicht beim Erwerb von Software im Internet ist, da Bedrohungsakteure ihre betrügerischen Taktiken immer weiter verfeinern.
