تم خداع المستخدمين الذين يبحثون عن ألعاب شهيرة لتنزيل مثبتات ألعاب مزيفة تحتوي على برامج ضارة، مما أدى إلى نشر برنامج تعدين عملات رقمية على أجهزة ويندوز المُصابة.
أُطلق على هذه الحملة واسعة النطاق اسم StaryDobry من قبل شركة الأمن السيبراني الروسية Kaspersky، التي اكتشفتها لأول مرة في 31 ديسمبر 2024. واستمرت الحملة لمدة شهر.
وشملت أهداف الحملة أفرادًا وشركات حول العالم، مع تركيز أعلى للإصابات في روسيا والبرازيل وألمانيا وبيلاروسيا وكازاخستان، وفقًا لبيانات Kaspersky.
وقال الباحثان تاتيانا شيشكوفا وكيريل كوركيمني في تحليل نُشر يوم الثلاثاء: “ساعد هذا النهج المهاجمين على تحقيق أقصى استفادة من برنامج التعدين من خلال استهداف أجهزة ألعاب قوية قادرة على تحمل نشاط التعدين.”
تفاصيل الحملة
استخدمت حملة تعدين العملات الرقمية XMRig ألعابًا شعبية مثل BeamNG.drive وGarry’s Mod وDyson Sphere Program وUniverse Sandbox وPlutocracy كطُعم لبدء سلسلة هجمات معقدة.
وقد تم تحميل مثبتات ألعاب مسممة تم إنشاؤها باستخدام Inno Setup على مواقع تورنت مختلفة في سبتمبر 2024، مما يشير إلى أن الجهات الفاعلة الخبيثة غير المعروفة وراء الحملة قد خططت للهجمات بعناية.
عند تنزيل هذه الإصابات (المعروفة أيضًا باسم “repacks”)، يتم تقديم شاشة مثبت تطلب من المستخدمين متابعة عملية الإعداد، وخلالها يتم استخراج وتنفيذ ملف ضار (“unrar.dll”).
سلوك البرنامج الضار
يقوم ملف DLL بتنفيذ سلسلة من الفحوصات لتحديد ما إذا كان يعمل في بيئة اختبار أو بيئة معزولة (sandbox)، مما يظهر سلوكًا متجنبًا للكشف.
بعد ذلك، يتواصل مع مواقع مثل api.myip[.]com وip-api[.]com وipwho[.]is للحصول على عنوان IP للمستخدم وتقدير موقعه. إذا فشل في هذه الخطوة، يتم تعيين البلد افتراضيًا على الصين أو بيلاروسيا لأسباب غير واضحة تمامًا.
تتضمن المرحلة التالية جمع بصمة الجهاز، وفك تشفير ملف تنفيذي آخر (“MTX64.exe”)، وكتابة محتوياته في ملف على القرص باسم “Windows.Graphics.ThumbnailHandler.dll” في مجلد %SystemRoot% أو %SystemRoot%\Sysnative.
استغلال وظائف ويندوز
يستغل MTX64 وظيفة Windows Shell Extension Thumbnail Handler لتحميل حمولة إضافية تُسمى Kickstarter، والتي تقوم بدورها بفك تشفير كتلة بيانات مدمجة داخلها.
يتم تخزين هذه الكتلة في ملف جديد باسم “Unix.Directory.IconHandler.dll” في مجلد %appdata\Roaming\Microsoft\Credentials%InstallDate%.
يقوم هذا الملف بجلب الحمولة النهائية من خادم بعيد مسؤول عن تشغيل برنامج التعدين، مع مراقبة مستمرة لعمليات مثل taskmgr.exe وprocmon.exe. إذا تم اكتشاف أي من هذه العمليات، يتم إنهاء البرنامج الضار على الفور.
برنامج تعدين XMRig المعدل
يستخدم برنامج التعدين نسخة معدلة قليلاً من XMRig، ويبدأ عملية التعدين على أجهزة تحتوي على وحدات معالجة مركزية (CPUs) ذات 8 نوى أو أكثر.
وأضاف الباحثون: “إذا كان هناك أقل من 8 نوى، لا يبدأ برنامج التعدين. كما اختار المهاجمون استضافة خادم تجميع التعدين في بنيتهم التحتية بدلاً من استخدام خادم عام.”
اللغز حول الجهات الفاعلة
لا يزال هجوم StaryDobry غير مُنسب إلى أي جهة معروفة بسبب عدم وجود مؤشرات تربطه بمجرمي الإنترنت المعروفين. ومع ذلك، فإن وجود سلاسل نصية باللغة الروسية في العينات يشير إلى احتمال أن يكون الجهة الفاعلة تتحدث الروسية.
