一場名為“StaryDobry”的大規模惡意軟件活動以破解游戲《Garry’s Mod， BeamNG》的木馬版本為目標，攻擊全球玩家。

這些游戲都是Steam上擁有數十萬“絕對正面”評價的頂級游戲，因此它們很容易成為惡意活動的目標。

值得注意的是，據報道，在2024年6月，一個帶花邊的光束模型被用作迪士尼黑客攻擊的初始訪問向量。

根據卡巴斯基的說法，StaryDobry活動始于2024年12月下旬，結束于2025年1月27日。它主要影響來自德國、俄羅斯、巴西、白俄羅斯和哈薩克斯坦的用戶。

攻擊者在2024年9月提前幾個月將受感染的游戲安裝程序上傳到torrent網站，并在假期期間觸發游戲中的有效載荷，從而降低了檢測的可能性。

StaryDobry活動時間表

StaryDobry感染鏈

StaryDobry活動使用了一個多階段感染鏈，最終以XMRig加密程序感染告終。用戶從種子網站下載了木馬化的游戲安裝程序，這些程序看起來都很正常。

活動中使用的惡意種子之一

在游戲安裝過程中，惡意軟件卸載程序（unrar.dll）被解包并在后臺啟動，在繼續之前，它會檢查它是否在虛擬機，沙箱或調試器上運行。

惡意軟件表現出高度規避行為，如果它檢測到任何安全工具，立即終止，可能是為了避免損害聲譽。

Anti-debug檢查

接下來，惡意軟件使用‘regsvr32.exe’進行持久化注冊，并收集詳細的系統信息，包括操作系統版本、國家、CPU、 RAM和GPU詳細信息，并將其發送到pinokino[.]fun的命令和控制（C2）服務器。

最終，dropper解密并將惡意軟件加載程序（MTX64.exe）安裝在系統目錄中。

加載程序冒充Windows系統文件，進行資源欺騙，使其看起來是合法的，并創建一個計劃任務，在重新啟動之間持久化。如果主機至少有8個CPU內核，它將下載并運行XMRig挖掘器。

StaryDobry中使用的XMRig挖掘器是Monero挖掘器的修改版本，它在執行之前在內部構造其配置，并且不訪問參數。

礦工始終維護一個單獨的線程，監視在受感染的機器上運行的安全工具，如果檢測到任何進程監視工具，它將關閉自己。

這些攻擊中使用的XMRig連接到私有挖礦服務器，而不是公共礦池，這使得收益更難追蹤。

卡巴斯基無法將這些攻擊歸因于任何已知的威脅組織。StaryDobry往往是一個一次性的活動。為了植入礦工，攻擊者通常會實施一個復雜的執行鏈，利用尋求免費游戲的用戶。這種方法可以幫助威脅者能夠維持采礦活動的強大游戲機，最大限度地利用了礦工植入物。

參考及來源：https://www.bleepingcomputer.com/news/security/cracked-garrys-mod-beamngdrive-games-infect-gamers-with-miners/