En lugar de regalos, un minero: una trampa de Año Nuevo en torrents drenó los recursos de computadoras en todo el mundo

Según el informe de Kaspersky Lab, el último día de 2024 comenzó una campaña masiva llamada StaryDobry, dirigida a los usuarios de populares rastreadores de torrents. Los hackers comenzaron a distribuir malware precisamente en la temporada festiva, cuando la precaución de los usuarios disminuye y la actividad en las redes de intercambio de archivos aumenta. Durante el ataque, que duró un mes, se vieron afectados usuarios de todo el mundo, incluyendo Rusia, Bielorrusia, Kazajistán, Alemania y Brasil.

Los ciberdelincuentes distribuyeron versiones troyanizadas de juegos populares como BeamNG.drive, Garry’s Mod, Dyson Sphere Program, Universe Sandbox y Plutocracy. Las copias maliciosas se subieron a los rastreadores de torrents en septiembre de 2024, pero su descarga se intensificó en Año Nuevo. Como resultado, los usuarios que descargaban los juegos recibían junto con los archivos de instalación un minero oculto XMRig.

La ejecución del instalador infectado activaba una compleja cadena de ejecución de código con varios niveles de protección contra detección. El malware analizaba el entorno en busca de depuración, verificaba los parámetros del sistema y ocultaba su presencia. El objetivo principal del ataque era la minería de la criptomoneda Monero (XMR) utilizando la potencia de cómputo de las máquinas infectadas.

Durante la instalación, el malware utilizaba bibliotecas RAR para extraer archivos, verificaba la dirección IP de la víctima y enviaba la huella digital del sistema a un servidor de comando. Luego, se descifraba y ejecutaba el cargador MTX64, que se camuflaba como archivos del sistema. Posteriormente, se cargaba un archivo ejecutable llamado kickstarter, que modificaba recursos para ocultar la presencia del código malicioso.

La etapa final de la infección consistía en la instalación de XMRig, que operaba en segundo plano utilizando los recursos del procesador de la víctima para la minería. Para evitar la detección, el programa verificaba la lista de procesos en ejecución y se cerraba si detectaba herramientas de análisis como el Administrador de tareas o Process Monitor.

El incidente afectó no solo a usuarios individuales, sino también a sistemas corporativos, donde el minero podía ingresar a través de dispositivos infectados de empleados. Sin embargo, las organizaciones no eran el objetivo principal de los atacantes. Hasta el momento, no hay datos confirmados sobre quién está detrás de esta campaña. El ataque es otro recordatorio de los riesgos asociados con la descarga de contenido de fuentes no confiables.