一場(chǎng)名為“StaryDobry”的大規(guī)模惡意軟件活動(dòng)以破解游戲《Garry’s Mod， BeamNG》的木馬版本為目標(biāo)，攻擊全球玩家。

這些游戲都是Steam上擁有數(shù)十萬“絕對(duì)正面”評(píng)價(jià)的頂級(jí)游戲，因此它們很容易成為惡意活動(dòng)的目標(biāo)。

值得注意的是，據(jù)報(bào)道，在2024年6月，一個(gè)帶花邊的光束模型被用作迪士尼黑客攻擊的初始訪問向量。

根據(jù)卡巴斯基的說法，StaryDobry活動(dòng)始于2024年12月下旬，結(jié)束于2025年1月27日。它主要影響來自德國、俄羅斯、巴西、白俄羅斯和哈薩克斯坦的用戶。

攻擊者在2024年9月提前幾個(gè)月將受感染的游戲安裝程序上傳到torrent網(wǎng)站，并在假期期間觸發(fā)游戲中的有效載荷，從而降低了檢測(cè)的可能性。

StaryDobry活動(dòng)時(shí)間表

StaryDobry感染鏈

StaryDobry活動(dòng)使用了一個(gè)多階段感染鏈，最終以XMRig加密程序感染告終。用戶從種子網(wǎng)站下載了木馬化的游戲安裝程序，這些程序看起來都很正常。

活動(dòng)中使用的惡意種子之一

在游戲安裝過程中，惡意軟件卸載程序（unrar.dll）被解包并在后臺(tái)啟動(dòng)，在繼續(xù)之前，它會(huì)檢查它是否在虛擬機(jī)，沙箱或調(diào)試器上運(yùn)行。

惡意軟件表現(xiàn)出高度規(guī)避行為，如果它檢測(cè)到任何安全工具，立即終止，可能是為了避免損害聲譽(yù)。

Anti-debug檢查

接下來，惡意軟件使用‘regsvr32.exe’進(jìn)行持久化注冊(cè)，并收集詳細(xì)的系統(tǒng)信息，包括操作系統(tǒng)版本、國家、CPU、 RAM和GPU詳細(xì)信息，并將其發(fā)送到pinokino[.]fun的命令和控制（C2）服務(wù)器。

最終，dropper解密并將惡意軟件加載程序（MTX64.exe）安裝在系統(tǒng)目錄中。

加載程序冒充Windows系統(tǒng)文件，進(jìn)行資源欺騙，使其看起來是合法的，并創(chuàng)建一個(gè)計(jì)劃任務(wù)，在重新啟動(dòng)之間持久化。如果主機(jī)至少有8個(gè)CPU內(nèi)核，它將下載并運(yùn)行XMRig挖掘器。

StaryDobry中使用的XMRig挖掘器是Monero挖掘器的修改版本，它在執(zhí)行之前在內(nèi)部構(gòu)造其配置，并且不訪問參數(shù)。

礦工始終維護(hù)一個(gè)單獨(dú)的線程，監(jiān)視在受感染的機(jī)器上運(yùn)行的安全工具，如果檢測(cè)到任何進(jìn)程監(jiān)視工具，它將關(guān)閉自己。

這些攻擊中使用的XMRig連接到私有挖礦服務(wù)器，而不是公共礦池，這使得收益更難追蹤。

卡巴斯基無法將這些攻擊歸因于任何已知的威脅組織。StaryDobry往往是一個(gè)一次性的活動(dòng)。為了植入礦工，攻擊者通常會(huì)實(shí)施一個(gè)復(fù)雜的執(zhí)行鏈，利用尋求免費(fèi)游戲的用戶。這種方法可以幫助威脅者能夠維持采礦活動(dòng)的強(qiáng)大游戲機(jī)，最大限度地利用了礦工植入物。

參考及來源：https://www.bleepingcomputer.com/news/security/cracked-garrys-mod-beamngdrive-games-infect-gamers-with-miners/