Popüler oyunlar arayan kullanıcılar, tehlikeye atılan Windows ana bilgisayarlarına bir kripto para madencisinin konuşlandırılmasına yol açan truva atışçılarını indirmeye çekildi.
Büyük ölçekli etkinliğe kodlanmıştır Eskimiş 31 Aralık 2024’te ilk kez tespit eden Rus siber güvenlik şirketi Kaspersky tarafından bir ay sürdü.
Kampanyanın hedefleri arasında dünya çapında bireyler ve işletmeler, Kaspersky’nin telemetrisi Rusya, Brezilya, Almanya, Belarus ve Kazakistan’da daha yüksek enfeksiyon konsantrasyonları buluyor.
Araştırmacılar Tatyana Shishkova ve Kirill Korchemny Salı günü yayınlanan bir analizde, “Bu yaklaşım, tehdit aktörlerinin madencilik faaliyetini sürdürebilen güçlü oyun makinelerini hedefleyerek madencilik implantından en iyi şekilde yararlanmasına yardımcı oldu.” Dedi.
XMRIG kripto para madenci kampanyası, sofistike bir saldırı zincirini başlatmak için cazibe olarak Beamng.drive, Garry’s Mod, Dyson Küre Programı, Evren Sandbox ve plutokrasi gibi popüler simülatör ve fizik oyunlarını kullanıyor.
Bu, Eylül 2024’te Inno kurulumunu kullanarak hazırlanmış zehirli oyun montajcılarının yüklenmesini içerir, bu da kampanyanın arkasındaki kimliği belirsiz tehdit aktörlerinin saldırıları dikkatle planladığını gösterir.
“Repacks” olarak da adlandırılan bu sürümleri indiren kullanıcılara, bir damlalık (“unrar.dll”) çıkarıldığı ve yürütüldüğü kurulum işlemine devam etmeye çağıran bir yükleyici ekranı sunulmaktadır.
DLL dosyası, yalnızca bir hata ayıklama veya kum havuzu ortamında çalışıp çalışmadığını belirlemek için bir dizi kontrol çalıştırdıktan sonra yürütülmesini sürdürür.
Daha sonra, api.myip gibi çeşitli siteleri ankete sahiptir. [.]com, ip-api [.]com ve ipwho [.]kullanıcının IP adresini almak ve konumlarını tahmin etmektir. Bu adımda başarısız olursa, ülke tamamen net olmayan nedenlerle Çin veya Belarus’a temerrüde düşer.
Bir sonraki aşama, makinenin parmak izini toplamayı, başka bir yürütülebilir dosyayı çözmeyi (“mtx64.exe”) ve içeriğini “windows.graphics.thumbnailhandler.dll” adlı diskte %SystemRoot %veya %SystemRoot’ta yazmayı gerektirir. %\ Sysnative klasör.
EpubshellextThumbnailHandler adlı meşru bir açık kaynak projesine dayanan MTX64, Windows Shell uzantısı küçük resim işlevselliğini, daha sonra içine yerleştirilmiş şifreli bir leke açan bir sonraki aşama yükü yükleyerek kendi kazancı için kendi kazancı için değiştirir.
Blob, önceki adımda olduğu gibi, “unix.directory.iconhandler.dll” adı altında diske yazılmıştır.
Yeni oluşturulan DLL, madenci implantını çalıştırmaktan sorumlu bir uzak sunucudan final aşamalı ikili alacak şekilde yapılandırılırken, aynı zamanda TaskMgr.exe ve Procmon.exe’yi çalışan işlemler listesinde sürekli olarak kontrol eder. İşlemlerden herhangi biri tespit edilirse artefaktı derhal sonlandırılır.
Madenci, 8 veya daha fazla çekirdeği olan CPU’lu makinelerde madencilik işlemini başlatmak için önceden tanımlanmış bir komut satırı kullanan XMRIG’nin biraz ayarlanmış bir sürümüdür.
Araştırmacılar, “8’den az varsa, madenci başlamaz.” Dedi. “Dahası, saldırgan bir madencilik havuzu sunucusunu halka açık bir şekilde kullanmak yerine kendi altyapılarında ağırlamayı seçti.”
“XMRIG, yerleşik işlevselliğini kullanarak oluşturulan komut satırını ayrıştırır. Madenci, önceki aşamada olduğu gibi aynı yöntemi kullanarak sistemde çalışan işlem monitörlerini kontrol etmek için ayrı bir iş parçacığı oluşturur.”
Starydobry, bilinen herhangi bir Kırım aktörüne bağlayabilecek göstergelerin eksikliği göz önüne alındığında katkıda bulunulmamıştır. Bununla birlikte, örneklerde Rus dil dizelerinin varlığı, Rusça konuşan bir tehdit oyuncusu olasılığını ifade ediyor.