Согласно отчетуЛаборатории Касперского, в последний день 2024 года началась масштабная кампания StaryDobry, нацеленная на пользователей популярных торрент-трекеров. Хакеры стали распространять вредоносное ПО именно в праздничный сезон, когда осмотрительность пользователей снижена, а активность в файлообменных сетях возрастает. В ходе атаки, которая длилась месяц, заражению подверглись пользователи по всему миру, включая Россию, Беларусь, Казахстан, Германию и Бразилию.
Киберпреступники распространяли троянизированные версии популярных игр, таких как BeamNG.drive, Garry’s Mod, Dyson Sphere Program, Universe Sandbox и Plutocracy. Вредоносные копии были загружены на торрент-трекеры еще в сентябре 2024 года, а их загрузка активизировалась под Новый год. В итоге пользователи, скачивавшие игры, вместе с установочными файлами получали скрытый майнер XMRig.
Запуск зараженного установщика активировал сложную цепочку выполнения кода, включающую несколько уровней защиты от обнаружения. Вредоносное ПО проверяло окружение на предмет отладки, анализировало параметры системы и скрывало свое присутствие. Основная цель атаки – добыча криптовалюты Monero (XMR) за счет вычислительных мощностей зараженных машин.
На этапе установки вредонос использовал RAR-библиотеки для извлечения файлов, проверял IP-адрес жертвы и отправлял fingerprint системы на командный сервер. Затем расшифровывался и запускался загрузчик MTX64, который маскировался под системные файлы. Позднее загружался исполняемый файл kickstarter, который подменял ресурсы для скрытия присутствия вредоносного кода.
Финальной стадией заражения становилась установка XMRig, который работал в фоновом режиме, используя ресурсы процессора жертвы для майнинга. Чтобы избежать обнаружения, программа проверяла список запущенных процессов и завершала работу при обнаружении инструментов анализа Task Manager или Process Monitor.
Инцидент затронул не только отдельных пользователей, но и корпоративные системы, куда майнер мог попасть через зараженные устройства сотрудников. Однако организации не были основной целью атакующих. Пока нет подтвержденных данных о том, кто стоит за данной кампанией. Атака стала очередным напоминанием о рисках, связанных с загрузкой контента из ненадежных источников.