一场名为“StaryDobry”的大规模歹意软件活动以破解游戏《Garry’s Mod， BeamNG》的木马版别为方针，进犯全球玩家。

  这些游戏都是Steam上具有数十万“肯定正面”点评的尖端游戏，因而它们很简单成为歹意活动的方针。

  值得注意的是，据报道，在2024年6月，一个带花边的光束模型被用作迪士尼黑客进犯的初始拜访向量。

  依据卡巴斯基的说法，StaryDobry活动始于2024年12月下旬，完毕于2025年1月27日。它首要影响来自德国、俄罗斯、巴西、白俄罗斯和哈萨克斯坦的用户。

  进犯者在2024年9月提早几个月将受感染的游戏装置程序上传到torrent网站，并在假日期间触发游戏中的有效载荷，以此来降低了检测的或许性。

  StaryDobry活动运用了一个多阶段感染链，终究以XMRig加密程序感染告终。用户从种子网站下载了木马化的游戏装置程序，这些程序看起来都很正常。

  在游戏装置过程中，歹意软件卸载程序（unrar.dll）被解包并在后台发动，在持续之前，它会查看它是否在虚拟机，沙箱或调试器上运转。

  歹意软件表现出高度躲避行为，假如它检测就任何安全东西，当即停止，或许是为了尽最大或许防止危害名誉。

  接下来，歹意软件运用‘regsvr32.exe’进行耐久化注册，并搜集具体的体系信息，包含操作体系版别、国家、CPU、 RAM和GPU具体信息，并将其发送到pinokino[.]fun的指令和操控（C2）服务器。

  终究，dropper解密并将歹意软件加载程序（MTX64.exe）装置在体系目录中。

  加载程序假充Windows体系文件，进行资源诈骗，使其看起来是合法的，并创立一个计划任务，在从头再发动之间耐久化。假如主机至少有8个CPU内核，它将下载并运转XMRig发掘器。

  StaryDobry中运用的XMRig发掘器是Monero发掘器的修正版别，它在履行之前在内部结构其装备，并且不拜访参数。

  矿工一直保护一个独自的线程，监督在受感染的机器上运转的安全东西，假如检测就任何进程监督东西，它将封闭自己。

  这些进犯中运用的XMRig连接到私有挖矿服务器，而不是公共矿池，这使得收益更难追寻。

  卡巴斯基无法将这些进犯归因于任何已知的要挟安排。StaryDobry往往是一个一次性的活动。为了植入矿工，进犯者通常会施行一个杂乱的履行链，使用寻求免费游戏的用户。这种方法可以协助要挟者可以保持采矿活动的强壮游戏机，最大极限地使用了矿工植入物。