Judul-judul ini adalah game teratas dengan ratusan ribu ulasan 'sangat positif' di Steam, menjadikannya target yang empuk untuk aktivitas berbahaya. Perlu dicatat bahwa mod Beamng bertali dilaporkan digunakan sebagai vektor akses awal untuk peretasan di Disney pada Juni 2024.
Menurut Kaspersky, kampanye StaryDobry dimulai pada akhir Desember 2024 dan berakhir pada 27 Januari 2025. Ini sebagian besar berdampak pada pengguna dari Jerman, Rusia, Brasil, Belarusia, dan Kazakhstan.
Pelaku ancaman mengunggah penginstal game yang terinfeksi ke situs torrent pada September 2024, beberapa bulan sebelumnya, dan memicu muatan dalam game selama liburan, membuat deteksi lebih kecil kemungkinannya.
Kampanye StaryDobry menggunakan rantai infeksi multi-tahap yang berpuncak dengan infeksi cryptominer XMRig. Pengguna mengunduh penginstal game trojan dari situs torrent, yang tampak normal, termasuk game sebenarnya yang dijanjikan kepada mereka, ditambah kode berbahaya.
Selama penginstalan game, malware dropper (unrar.dll) dibongkar dan diluncurkan di latar belakang, dan memeriksa apakah itu berjalan di mesin virtual, kotak pasir, atau debugger sebelum melanjutkan.
Malware ini menunjukkan perilaku yang sangat mengelak, segera dihentikan jika mendeteksi alat keamanan apa pun, mungkin untuk menghindari merusak reputasi torrent.
Selanjutnya, malware mendaftarkan dirinya menggunakan 'regsvr32.exe' untuk persistensi dan mengumpulkan informasi sistem terperinci, termasuk versi OS, negara, CPU, RAM, dan detail GPU, dan mengirimkannya ke server perintah dan kontrol (C2) di pinokino[.]fun.
Akhirnya, dropper mendekripsi dan menginstal malware loader (MTX64.exe) di direktori sistem.
Loader berpose sebagai file sistem Windows, terlibat dalam spoofing sumber daya agar tampak sah, dan membuat tugas terjadwal untuk bertahan di antara reboot. Jika mesin host memiliki setidaknya delapan inti CPU, ia mengunduh dan menjalankan penambang XMRig.
Penambang XMRig yang digunakan di StaryDobry adalah versi modifikasi dari penambang Monero yang membangun konfigurasinya secara internal sebelum eksekusi dan tidak mengakses argumen.
Penambang mempertahankan utas terpisah setiap saat, memantau alat keamanan yang berjalan pada mesin yang terinfeksi, dan jika ada alat pemantauan proses yang terdeteksi, ia akan mematikan dirinya sendiri.
XMRig yang digunakan dalam serangan ini terhubung ke server penambangan pribadi, bukan kumpulan publik, membuat hasilnya lebih sulit dilacak. Kaspersky belum dapat mengaitkan serangan tersebut dengan kelompok ancaman yang diketahui tetapi mencatat bahwa kemungkinan itu berasal dari aktor berbahasa Rusia.
"StaryDobry cenderung menjadi kampanye satu tembakan. Untuk memberikan implan penambang, para aktor menerapkan rantai eksekusi canggih yang mengeksploitasi pengguna yang mencari game gratis," ungkap Kaspersky.
"Pendekatan ini membantu pelaku ancaman memaksimalkan implan penambang dengan menargetkan mesin game yang kuat yang mampu mempertahankan aktivitas penambangan."
Cek Berita dan Artikel yang lain di
Google News
Viral! 18 Kampus ternama memberikan beasiswa full sampai lulus untuk S1 dan S2 di Beasiswa OSC. Info lebih lengkap klik : osc.medcom.id
