في عالم الأمن السيبراني المتغير بسرعة، تتزايد التهديدات التي تستهدف مستخدمي الألعاب الإلكترونية. في الآونة الأخيرة، تعرض المستخدمون الذين يبحثون عن الألعاب الشهيرة لعملية احتيال مبتكرة، حيث تم استدراجهم لتنزيل مُثبّتات مُعدلة تحتوي على برمجيات خبيثة تهدف إلى نشر برمجيات استخراج العملات الرقمية المشفرة على أجهزة ويندوز المصابة.

تحليل مفصل لحملة “StaryDobry”

قامت شركة كاسبرسكي الروسية المتخصصة في الأمن السيبراني بتسمية هذه الحملة الخبيثة “StaryDobry”. تم اكتشاف هذه الحملة واسعة النطاق لأول مرة في 31 ديسمبر 2024 واستمرت لقرابة الشهر. استهدفت هذه الحملة الأفراد والشركات في جميع أنحاء العالم، حيث أظهرت بيانات كاسبرسكي تركز العدوى بشكل أكبر في روسيا، البرازيل، ألمانيا، بيلاروسيا، وكازاخستان.

وفقاً للباحثين تاتيانا شيشكوفا وكيريل كورشمني، فإن استهداف الأجهزة القوية المخصصة للألعاب هو ما مكن الفاعلين الخبثاء من الاستفادة القصوى من برمجيات التعدين.

طريقة الهجوم وآلية العمل

استخدمت حملة التعدين الشهيرة “XMRig” ألعاب المحاكاة والفيزياء مثل BeamNG.drive وGarry’s Mod وDyson Sphere Program كوسيلة لجذب المستخدمين وبدء سلسلة الهجمات. بدأ هذا الهجوم برفع مُثبتات الألعاب المُعدلة على مواقع التورنت في سبتمبر 2024، مما يشير إلى أن الفاعلين قاموا بتخطيط هذه الهجمات بشكل دقيق.

عند تنزيل هذه الإصدارات، يُعرض على المستخدمين شاشة تثبيت تدعوهم إلى متابعة عملية التثبيت، حيث يتم استخراج وتنفيذ ملف إسقاط يُسمى “unrar.dll”. يستمر هذا الملف في التنفيذ فقط بعد إجراء سلسلة من الفحوصات للتأكد من عدم تشغيله في بيئة تصحيح أو صندوق رملي، مما يبرز سلوكه التخفّي.

تداعيات أمنية وجوانب تقنية

تتضمن المرحلة التالية جمع بصمات الجهاز وفك تشفير ملف تنفيذي آخر يُدعى “MTX64.exe”، وكتابة محتوياته إلى ملف على القرص في أحد مجلدات النظام. يعتمد “MTX64” على مشروع مفتوح المصدر يُدعى “EpubShellExtThumbnailHandler” لتعديل ميزة معالج الصور المصغرة في ويندوز لصالحه.

البرمجية الخبيثة تستمر في تنفيذ مراحلها عبر كتابة شفرة مشفرة إلى القرص تحت اسم “Unix.Directory.IconHandler.dll” في مجلد %appdata\Roaming\Microsoft\Credentials\%InstallDate%\، ومن ثم تتواصل مع خادم بعيد لتحميل البرمجية النهائية المسؤولة عن تشغيل برمجية التعدين.

الخاتمة والنقاش

في ظل غياب مؤشرات تربط هذه الحملة بأطراف معروفة، تبقى “StaryDobry” مجهولة الهوية. ومع ذلك، تشير وجود سلاسل نصية باللغة الروسية في العينات إلى احتمالية أن يكون الفاعل يتحدث الروسية.

ما رأيك في التطورات الأخيرة في مجال الأمن السيبراني؟ كيف يمكن للمستخدمين حماية أنفسهم من مثل هذه الهجمات؟ شاركنا رأيك على تويتر وفيسبوك.