Los instaladores de juegos troyanizados implementan un minero de criptomonedas en un ataque StaryDobry a gran escala:
El día 19 de Frebrero de 2025, se dio a conocer una noticia que los usuarios que han estado buscando juegos populares, fueron atraídos a descargar instaladores troyanizados que implementaron un minero de criptomonedas en hosts Windows comprometidos.
Esta actividad ha sido renombrada como StaryDobry por la empresa rusa de ciberseguridad Kaspersky, que la detecto por primera vez el 31 de Diciembre. Los objetivos de la campaña incluyen tanto a individuos como a empresas de todo el mundo, con la telemetría de Kaspersky revelando mayores concentraciones de infecciones en Rusia, Brasil, Alemania, Bielorrusia y Kazajistán.
La campaña del minero de criptomonedas XMRig utiliza juegos populares de simulación y física como BeamNG.drive, Garry’s Mod, Dyson Sphere Program, Universe Sandbox y Plutocracy como señuelos para lanzar una cadena de ataques compleja.
Esto implica cargar instaladores de juegos envenenados creados con Inno Setup en varios sitios de torrents en septiembre de 2024, lo que indica que los actores de amenazas no identificados detrás de la campaña habían planeado cuidadosamente los ataques.
Los usuarios que descargan estos archivos, también conocidos como repacks, ven una pantalla de instalación que los incita a continuar con el proceso de configuración, durante el cual se extrae y ejecuta un dropper unrar.dll.
El archivo DLL solo sigue ejecutándose después de realizar una serie de verificaciones para determinar si está en un entorno de depuración o sandbox, lo que muestra su comportamiento altamente evasivo.
A continuación, el malware consulta varios sitios como api.myip [.]com, ip-api [.]com e ipwho [.]is para obtener la dirección IP del usuario y estimar su ubicación. Si no puede completar este paso, establece el país como China o Bielorrusia por razones que no están completamente claras.
La siguiente fase involucra la recopilación de una huella digital de la máquina, el descifrado de otro archivo ejecutable («MTX64.exe») y la escritura de su contenido en un archivo en el disco denominado «Windows.Graphics.ThumbnailHandler.dll» en la carpeta %SystemRoot% o %SystemRoot%\Sysnative.
Basado en un proyecto legítimo de código abierto llamado EpubShellExtThumbnailHandler , MTX64 modifica la funcionalidad del manejador de miniaturas de la extensión de Windows Shell para su propio beneficio al cargar una carga útil de siguiente etapa, un ejecutable portátil llamado Kickstarter que luego descomprime un blob cifrado incrustado en él.
El blob, como en el paso anterior, se escribe en el disco con el nombre “Unix.Directory.IconHandler.dll” en la carpeta %appdata\Roaming\Microsoft\Credentials\%InstallDate%\.
Soluciones:
Una de las soluciones que recomendamos es el antivirus de Sophos. Sophos Endpoint adopta un enfoque integral de la seguridad centrado en la prevención para bloquear las amenazas sin depender de una única técnica. Se sirve de controles web, controles de aplicaciones y de periféricos para reducir su superficie de ataque y bloquear vectores de ataque comunes. Inteligencia artificial, análisis de comportamientos, herramientas antiransomware y antiexploits y otras tecnologías avanzadas detienen las amenazas rápidamente antes de que se agraven, de modo que los equipos de TI sobrecargados tienen menos incidentes para investigar y resolver.
