一场名为 "StaryDobry" 的大规模恶意软件活动以破解游戏《Garry ’ s Mod， BeamNG》的木马版本为目标，攻击全球玩家。

这些游戏都是 Steam 上拥有数十万 " 绝对正面 " 评价的顶级游戏，因此它们很容易成为恶意活动的目标。

值得注意的是，据报道，在 2024 年 6 月，一个带花边的光束模型被用作迪士尼黑客攻击的初始访问向量。

根据卡巴斯基的说法，StaryDobry 活动始于 2024 年 12 月下旬，结束于 2025 年 1 月 27 日。它主要影响来自德国、俄罗斯、巴西、白俄罗斯和哈萨克斯坦的用户。

攻击者在 2024 年 9 月提前几个月将受感染的游戏安装程序上传到 torrent 网站，并在假期期间触发游戏中的有效载荷，从而降低了检测的可能性。

StaryDobry 活动时间表

StaryDobry 感染链

StaryDobry 活动使用了一个多阶段感染链，最终以 XMRig 加密程序感染告终。用户从种子网站下载了木马化的游戏安装程序，这些程序看起来都很正常。

活动中使用的恶意种子之一

在游戏安装过程中，恶意软件卸载程序（unrar.dll）被解包并在后台启动，在继续之前，它会检查它是否在虚拟机，沙箱或调试器上运行。

恶意软件表现出高度规避行为，如果它检测到任何安全工具，立即终止，可能是为了避免损害声誉。

Anti-debug 检查

接下来，恶意软件使用‘ regsvr32.exe ’进行持久化注册，并收集详细的系统信息，包括操作系统版本、国家、CPU、 RAM 和 GPU 详细信息，并将其发送到 pinokino [ . ] fun 的命令和控制（C2）服务器。

最终，dropper 解密并将恶意软件加载程序（MTX64.exe）安装在系统目录中。

加载程序冒充 Windows 系统文件，进行资源欺骗，使其看起来是合法的，并创建一个计划任务，在重新启动之间持久化。如果主机至少有 8 个 CPU 内核，它将下载并运行 XMRig 挖掘器。

StaryDobry 中使用的 XMRig 挖掘器是 Monero 挖掘器的修改版本，它在执行之前在内部构造其配置，并且不访问参数。

矿工始终维护一个单独的线程，监视在受感染的机器上运行的安全工具，如果检测到任何进程监视工具，它将关闭自己。

这些攻击中使用的 XMRig 连接到私有挖矿服务器，而不是公共矿池，这使得收益更难追踪。

卡巴斯基无法将这些攻击归因于任何已知的威胁组织。StaryDobry 往往是一个一次性的活动。为了植入矿工，攻击者通常会实施一个复杂的执行链，利用寻求免费游戏的用户。这种方法可以帮助威胁者能够维持采矿活动的强大游戏机，最大限度地利用了矿工植入物。