Специалисты «Лаборатории Касперского» рассказали о вредоносной кампании «StaryDobry» на торрент-трекерах, которая была активна в разных странах, включая Россию, Белоруссию, Казахстан и Германию. Ее суть заключалась во внедрении скрытого майнера XMRig в пиратские версии Garry's Mod, BeamNG.drive, Dyson Sphere Program, Universe Sandbox.
Кампания стартовала 31 декабря прошлого года и продолжалась до января этого года. Геймеры утверждают, зараженные версии тайтлов начали появляться на торрент-трекерах осенью, но они были представлены в небольшом количестве. Специалисты подтверждают информацию. Более того, они прогнозируют, ситуация может повториться в будущем.
Ссылка на изображение: Steam Workshop
Геймеры думали, что устанавливают игры, но вместе с ними они загружали опенсорсное решение, использующее мощности зараженных компьютеров для криптодобычи. После установки игроки получали доступ к тайтлам, на устройство устанавливался майнер, который запускается в фоновом режиме, если отсутствуют эффективные защитные решения. ПО закрепляется в системе, собирает сведения об устройстве, передает ее на управляющий сервер. После этого дроппер расшифровывает, устанавливает в системный каталог загрузчик малвари. Проблема в том, что майнер постоянно поддерживает работу отдельного потока, который следит за запущенными на зараженном ПК средствами безопасности. Когда включается мониторинг процессов, скрытая программа отключается.
Работа майнера негативно влияет на состояние ПК. Компьютер будет перегреваться, начинает медленнее работать, а пользователь получит увеличенный счет на оплату за использованное электричество. Эксперты считают, что злоумышленники запустили кампанию в преддверии Нового года, потому что в это время у многих людей снижается бдительность.