近期，一场名为“StaryDobry”的复杂网络攻击活动引发关注，攻击者利用热门游戏的篡改版本传播恶意软件，目标是感染全球用户的计算机系统。该活动最早于2024年12月31日被检测到，攻击者通过在热门游戏如《BeamNG.drive》《Garry’s Mod》和《Dyson Sphere Program》的安装包中嵌入恶意代码，利用用户对这些游戏的信任，通过种子网站传播这些被篡改的游戏安装包。

这些被篡改的游戏安装包中隐藏了一个恶意载荷，其主要目的是绕过安全检测并在受害者的系统中安装一款名为XMRig的加密货币矿工程序。攻击者利用游戏系统高性能的硬件资源来挖掘加密货币，从而获取经济利益。

攻击者利用节假日种子网站流量激增的时机，早在2024年9月就开始上传这些恶意游戏安装包。根据Securelist的安全分析，受害者主要集中在俄罗斯、巴西、德国、白俄罗斯和哈萨克斯坦。

恶意软件的传播链从一个看似合法的安装程序开始，该程序使用Inno Setup创建，并在执行时通过AES算法解密和提取恶意文件。其关键组件包括一个名为unrar.dll的dropper，它能够解密并执行额外的有效载荷，并通过反调试检查来躲避检测。

恶意软件还会收集系统指纹信息，如MachineGUID、内存大小、处理器数量和显卡详情等，并将这些信息通过Base64编码发送到命令与控制（C2）服务器。为了进一步隐藏自身，恶意软件会创建两个文件：一个用于存储指纹信息，另一个作为诱饵文件。

最终的有效载荷MTX64.exe通过AES-128解密，并伪装成合法的Windows DLL文件，通过伪造资源属性（如公司名称和文件版本）来混淆视听。此外，恶意软件还会更改文件创建时间戳，以进一步隐藏其存在。

XMRig矿工程序会根据系统规格构建预定义的命令行，并避免在少于八个CPU核心的系统上运行，以确保最佳的挖矿性能。与典型的挖矿活动不同，此次攻击者使用了自己的挖矿基础设施，而不是公共矿池，以避免被检测到。

为了保持隐蔽性，攻击者还使用了DNS-over-HTTPS（DoH）技术进行加密通信，这使得网络流量对传统监控工具来说变得不可见，从而增加了检测难度。

通过利用用户对热门游戏的信任以及先进的规避技术，攻击者成功地在不被发现的情况下渗透系统，并通过加密挖矿获取经济利益。

资讯来源：cybersecuritynews

转载请注明出处和本文链接