«Лаборатория Касперского» обнаружила на торрент-трекерах вредоносную кампанию, нацеленную на геймеров по всему миру. Кампания получила название StaryDobry и связана с внедрением майнера в пиратские версии таких игр, как Garry's Mod, BeamNG.drive, Dyson Sphere Program, Universe Sandbox и Plutocracy.
Кампания по распространению майнеров началась 31 декабря 2024 года и была активна вплоть до конца января 2025 года. При этом зараженные версии игр начали появляться на торрент-трекерах еще осенью прошлого года. Специалисты не исключают, что атакующие могут вновь активизироваться.
По данным компании, в основном от этой кампании пострадали пользователи из России, Беларуси, Казахстана, Бразилии и Германии. При этом подавляющее число пострадавших пользователей (70,5%) столкнулись с подделками под BeamNG.drive.
Вместе с пиратскими версиями игр на машины жертв загружался майнер XMRig — это опенсорсное решение, которое использует мощности зараженных компьютеров для добычи криптовалюты (чаще всего — Monero).
После установки зараженной версии игры жертва действительно получала доступ к игровому процессу, но вместе с этим в ходе цепочки загрузок на устройство проникал майнер. Так, во время установки игры вредоносный файл (unrar.dll) распаковывался и запускался в фоновом режиме. Перед этим он проверял, не запущен ли он на виртуальной машине, в песочнице или в отладчике.
Отмечается, что малварь демонстрирует скрытное поведение и немедленно завершает работу при обнаружении каких-либо защитных решений.
После этого вредоносная программа закрепляется в системе с помощью regsvr32.exe, собирает подробную информацию о зараженном устройстве (включая версию ОС, страну, ЦП, ОЗУ и сведения о графическом процессоре) и передает ее на управляющий сервер, расположенный на pinokino[.]fun.
В конечном итоге дроппер расшифровывает и устанавливает в системный каталог загрузчик малвари (MTX64.exe). Загрузчик маскируется под системный файл Windows, подменяет ресурсы, чтобы казаться легитимным, и создает запланированную задачу, чтобы сохраняться между перезагрузками. Если на хост-машине есть хотя бы восемь ядер процессора, в систему жертвы загрузится и запустится майнер XMRig.
Майнер постоянно поддерживает работу отдельного потока, следящего за запущенными на зараженной машине средствами безопасности, и в случае обнаружения каких-либо для инструментов мониторинга процессов, немедленно отключается.
В итоге компьютер пострадавшего может начать тормозить и перегреваться, к тому же могут заметно увеличиться счета за электричество.
Используемый в этих атаках майнер подключается к приватным серверам, а не к публичным пулам, что затрудняет отслеживание доходов операторов этой кампании.
«Вероятно, для старта кампании злоумышленники специально выбрали праздничный период, когда бдительность пользователей снижается, а интерес к развлекательному контенту может расти. Сама приманка в виде игр тоже выбрана неслучайно — игровые компьютеры, как правило, достаточно мощные для майнинга. Мы также полагаем, что за атаками стоит новая, ранее неизвестная кибергруппа, — комментирует Татьяна Шишкова, ведущий эксперт Kaspersky GReAT. — Пользователям не стоит недооценивать риски, которые несут майнеры. В некоторых случаях такие нежелательные программы оказываются модулями более комплексного вредоносного ПО, которое скрытно работает на устройстве и, помимо майнинга, совершает другие опасные действия. К тому же мы не рекомендуем скачивать игры и другие программы на сомнительных площадках».
