Une campagne de logiciels malveillants à grande échelle baptisée « Stary Dobry » a ciblé les joueurs du monde entier avec des versions cheval de Troie de jeux piratés tels que le Mod de Garry, BeamNG.entraînement et programme Dyson Sphere.
Ces titres sont des jeux de premier ordre avec des centaines de milliers de critiques « extrêmement positives » sur Steam, ce qui en fait de bonnes cibles pour les activités malveillantes.
Il convient de noter qu’un mod de faisceau lacé aurait été utilisé comme vecteur d’accès initial pour un piratage chez Disney en juin 2024.
Selon Kaspersky, la campagne Stary Dobry a débuté fin décembre 2024 et s’est terminée le 27 janvier 2025. Il a principalement touché des utilisateurs d’Allemagne, de Russie, du Brésil, de Biélorussie et du Kazakhstan.
Les auteurs de la menace ont téléchargé des installateurs de jeux infectés sur des sites torrent en septembre 2024, des mois à l’avance, et ont déclenché les charges utiles dans les jeux pendant les vacances, rendant la détection moins probable.
Chaîne d’infection de Stary Dobry
La campagne Stary Dobry a utilisé une chaîne d’infection à plusieurs étapes aboutissant à une infection par un cryptomineur XM Rig.
Les utilisateurs ont téléchargé les programmes d’installation de jeux trojanisés à partir de sites torrent, ce qui semblait normal, y compris le jeu réel qui leur avait été promis, ainsi que du code malveillant.
Lors de l’installation du jeu, le compte-gouttes de malware (unrar.dll) est décompressé et lancé en arrière-plan, et il vérifie s’il s’exécute sur une machine virtuelle, un bac à sable ou un débogueur avant de continuer.
Le malware présente un comportement très évasif, se terminant immédiatement s’il détecte des outils de sécurité, éventuellement pour éviter de nuire à la réputation du torrent.
Ensuite, le malware s’enregistre en utilisant ‘ regsvr32.exe ‘ pour la persistance et collecte des informations système détaillées, y compris la version du système d’exploitation, le pays, les détails du processeur, de la RAM et du GPU, et les envoie au serveur de commande et de contrôle (C2) à pinokino[.] amusant.
Finalement, le compte-gouttes déchiffre et installe le chargeur de logiciels malveillants (MTX64.exe) dans un répertoire système.
Le chargeur se présente comme un fichier système Windows, s’engage dans l’usurpation de ressources pour apparaître légitime et crée une tâche planifiée pour persister entre les redémarrages. Si la machine hôte possède au moins huit cœurs de processeur, elle télécharge et exécute un mineur XMRig.
Le mineur XMRig utilisé dans StaryDobry est une version modifiée du mineur Monero qui construit sa configuration en interne avant l’exécution et n’accède pas aux arguments.
Le mineur maintient un thread séparé à tout moment, surveillant les outils de sécurité exécutés sur la machine infectée, et si des outils de surveillance de processus sont détectés, il s’arrête.
Le XMRig utilisé dans ces attaques se connecte à des serveurs miniers privés au lieu de pools publics, ce qui rend le produit plus difficile à retracer.
Kaspersky n’a pas été en mesure d’attribuer les attaques à des groupes de menaces connus, mais note qu’elles proviennent probablement d’un acteur russophone.
« StaryDobry a tendance à être une campagne unique. Pour livrer l’implant mineur, les acteurs ont mis en place une chaîne d’exécution sophistiquée qui exploitait les utilisateurs à la recherche de jeux gratuits », a conclu Kaspersky.
« Cette approche a aidé les acteurs de la menace à tirer le meilleur parti de l’implant de mineur en ciblant de puissantes machines de jeu capables de soutenir l’activité minière. »