L'attaque de StaryDobry
Les joueurs à la recherche de jeux populaires basés sur la simulation et la physique ont peut-être installé sans le savoir un mineur de cryptomonnaie caché sur leurs systèmes Windows. Les chercheurs en cybersécurité ont identifié pour la première fois cette opération à grande échelle, sous le nom de code StaryDobry, fin décembre 2024. La campagne aurait duré environ un mois, compromettant de nombreuses machines dans le monde entier.
Table des matières
Des machines à hautes performances exploitées pour l'exploitation minière
La campagne visait principalement les utilisateurs individuels et les entreprises dans plusieurs régions, avec des taux d'infection notables en Russie, au Brésil, en Allemagne, en Biélorussie et au Kazakhstan. En se concentrant sur les configurations de jeu avec du matériel puissant, les attaquants ont maximisé l'efficacité de leurs opérations minières secrètes.
Jeux populaires utilisés comme leurres
L'attaque consistait à déguiser des installateurs menaçants en copies légitimes de jeux bien connus. Parmi les titres utilisés comme appâts figuraient BeamNG.drive, Garry's Mod, Dyson Sphere Program, Universe Sandbox et Plutocracy. Les acteurs de la menace ont téléchargé ces installateurs trojanisés sur des sites de torrents dès septembre 2024, ce qui indique que l'opération a été soigneusement préméditée.
Les installateurs infectés déclenchent une chaîne d'attaque furtive
Les utilisateurs qui ont téléchargé ces soi-disant « repacks » sans méfiance ont été confrontés à ce qui semblait être un processus d'installation standard. Au cours de l'installation, un fichier dropper caché (« unrar.dll ») a été déployé et exécuté en arrière-plan, déclenchant ainsi l'étape suivante de l'infection.
Techniques d'évasion avancées en action
Avant de continuer, le dropper a effectué plusieurs vérifications pour s'assurer qu'il ne fonctionnait pas dans un environnement virtualisé ou sandbox, démontrant ainsi ses capacités d'évasion sophistiquées. Il a ensuite contacté des services externes tels que api.myip.com, ip-api.com et ipwho.is pour collecter les adresses IP et déterminer l'emplacement des utilisateurs. Si cette étape échouait, le système se voyait attribuer un emplacement par défaut, la Chine ou la Biélorussie, pour des raisons qui restent obscures.
Un processus d'exécution complexe en plusieurs étapes
Une fois l'empreinte digitale de la machine prise, le dropper a déchiffré et exécuté un autre composant nommé « MTX64.exe ». Cet exécutable a enregistré son contenu sous le nom « Windows.Graphics.ThumbnailHandler.dll » dans un répertoire système. Basé sur un projet open source légitime, EpubShellExtThumbnailHandler, l'exécutable a utilisé de manière abusive la fonctionnalité d'extension Windows Shell pour charger la charge utile suivante, « Kickstarter ».
Le composant Kickstarter a extrait un blob de données chiffré et l'a écrit sur le disque sous le nom « Unix.Directory.IconHandler.dll » dans un dossier caché du répertoire AppData de l'utilisateur. Ce nouveau fichier a ensuite récupéré la charge utile de l'étape finale à partir d'un serveur distant, qui contenait le véritable mineur de cryptomonnaie.
Déploiement et surveillance des processus de Stealthy Miner
L'exécution du mineur était étroitement surveillée pour éviter toute détection. Il vérifiait en permanence les outils de surveillance du système tels que le Gestionnaire des tâches ('taskmgr.exe') et le Moniteur de processus ('procmon.exe'). Si l'un de ces processus était détecté, le mineur était immédiatement arrêté pour échapper à tout contrôle.
XMRig optimisé pour l'exploitation minière sélective
Au cœur de l'opération se trouvait une version personnalisée du mineur XMRig . Elle ne s'activait que sur les processeurs dotés d'au moins huit cœurs, garantissant ainsi que les machines compromises disposaient d'une puissance de traitement suffisante pour miner efficacement. De plus, au lieu de s'appuyer sur un pool de minage public, les attaquants ont mis en place leur propre serveur privé pour diriger les bénéfices du minage exclusivement vers leur infrastructure.
XMRig a exploité sa fonctionnalité intégrée pour analyser les instructions de ligne de commande tout en conservant un thread séparé pour vérifier les outils de surveillance actifs. Ce mécanisme d'autodéfense persistant a permis de garder l'activité minière cachée à l'utilisateur.
Une menace mystérieuse avec des indices russes
Malgré l'ampleur et la sophistication de l'opération, l'identité des auteurs reste inconnue. Cependant, les chercheurs ont découvert des chaînes en russe intégrées dans les composants de la campagne, suggérant que l'attaque pourrait provenir d'un acteur malveillant russophone.
La campagne StaryDobry met en évidence les risques associés au téléchargement de logiciels provenant de sources non vérifiées. En utilisant des installateurs de jeux comme appât, les cybercriminels ont réussi à déployer un mineur caché tout en maintenant une présence furtive sur les systèmes compromis. Cet incident souligne l'importance de la prudence lors de l'acquisition de logiciels en ligne, car les acteurs malveillants continuent d'affiner leurs tactiques trompeuses.
