一场名为“StaryDobry”的大领域坏心软件四肢以破解游戏《Garry’s Mod俺去也， BeamNG》的木马版块为方针，流弊全球玩家。

这些游戏齐是Steam上领荒芜十万“竣工正面”评价的顶级游戏，因此它们很容易成为坏心四肢的方针。

值得瞩见识是，据报谈，在2024年6月，一个带花边的光束模子被用作迪士尼黑客流弊的运行探问向量。

证明卡巴斯基的说法，StaryDobry四肢始于2024年12月下旬，完了于2025年1月27日。它主要影响来自德国、俄罗斯、巴西、白俄罗斯和哈萨克斯坦的用户。

流弊者在2024年9月提前几个月将受感染的游戏装置措施上传到torrent网站，并在假期技术触发游戏中的有用载荷，从而镌汰了检测的可能性。

StaryDobry四肢时分表

StaryDobry感染链

StaryDobry四肢使用了一个多阶段感染链，最终以XMRig加密措施感染告终。用户从种子网站下载了木马化的游戏装置措施，这些措施看起来齐很无边。

四肢中使用的坏心种子之一

在游戏装置经由中，坏心软件卸载措施（unrar.dll）被解包并在后台览动，在不竭之前，它会查验它是否在捏造机，沙箱或调试器上运行。

坏心软件弘扬出高度隐秘行动，要是它检测到任何安全用具，立即圮绝，可能是为了幸免毁伤声誉。

Anti-debug查验

接下来，坏心软件使用‘regsvr32.exe’进行握久化注册，并网络详备的系统信息，包括操作系统版块、国度、CPU、 RAM和GPU详备信息，并将其发送到pinokino[.]fun的号令和戒指（C2）管事器。

最终，dropper解密并将坏心软件加载措施（MTX64.exe）装置在系统目次中。

加载措施冒充Windows系统文献，进行资源诈欺，使其看起来是正当的，并创建一个计算任务，在再行启动之间握久化。要是主机至少有8个CPU内核，它将下载并运行XMRig挖掘器。

StaryDobry中使用的XMRig挖掘器是Monero挖掘器的修改版块，它在实践之前在里面构造其成就，何况不探问参数。

矿工永久爱戴一个单独的线程，监视在受感染的机器上运行的安全用具，要是检测到任何进度监视用具，它将关闭我方。

这些流弊中使用的XMRig连续到专有挖矿管事器，而不是天下矿池，这使得收益更难跟踪。

卡巴斯基无法将这些流弊归因于任何已知的胁迫组织。StaryDobry常常是一个一次性的四肢。为了植入矿工，流弊者常常会实施一个复杂的实践链俺去也，愚弄寻求免费游戏的用户。这种措施不错帮趋承胁者粗略保管采矿四肢的浩大游戏机，最大肆意地愚弄了矿工植入物。