Uma nova campanha de ciberataques, chamada StaryDobry pela Kaspersky, está distribuindo mineradores de criptomoedas através de instaladores de jogos adulterados. Detectada pela primeira vez em 31 de dezembro de 2024, a operação durou um mês e teve como principais alvos usuários na Rússia, Brasil, Alemanha, Belarus e Cazaquistão.

Os cibercriminosos exploraram a popularidade de jogos como BeamNG.drive, Garry’s Mod, Dyson Sphere Program e Universe Sandbox, distribuindo versões alteradas em sites de torrents desde setembro de 2024. Ao instalar esses jogos, os usuários executavam um dropper (unrar.dll), que, após uma série de verificações para evitar ambientes de análise, iniciava o ataque. O malware coletava informações do sistema, obtinha o IP do usuário e determinava sua localização. Curiosamente, se essa etapa falhava, o software assumia que o alvo estava na China ou Belarus. Depois, o programa desencriptava um arquivo executável (MTX64.exe) e o escondia em diretórios do Windows com nomes que simulavam arquivos legítimos.

A etapa final envolvia o carregamento do minerador XMRig, configurado para iniciar apenas em máquinas com processadores de 8 núcleos ou mais. O minerador funcionava discretamente e encerrava sua execução caso detectasse ferramentas de monitoramento como taskmgr.exe e procmon.exe. Para evitar rastreamento, os hackers criaram sua própria infraestrutura de mineração, em vez de usar pools públicas. Até o momento, não há informações sobre os responsáveis pelo ataque, mas indícios apontam para um grupo de língua russa. O caso destaca os perigos de baixar softwares de fontes não confiáveis e a necessidade de medidas de segurança para evitar infecções por malwares.