Attenti a questi giochi craccati: infettano i PC e installano cryptominer

Una nuova minaccia informatica si è abbattuta di recente sulla comunità dei videogiocatori più furbetti, quelli che preferiscono non pagare per godere dei loro titoli preferiti. La campagna malware StaryDobry ha utilizzato copie contraffatte di giochi molto apprezzati come Garry's Mod, BeamNG.drive e Dyson Sphere Program nel tentativo di diffondere un cryptominer nascosto per sfruttare le capacità computazionali dei PC da gaming.

BeamNG.drive, uno dei titoli coinvolti. È particolarmente diffuso anche sui social per le sue dinamiche realistiche negli incidenti fra auto

Gli attacchi sono stati orchestrati con astuzia: i criminali informatici hanno caricato i programmi di installazione infetti su siti di condivisione torrent già nel settembre 2024, mesi prima dell'attivazione effettiva dei payload malevoli. Questa mossa ha permesso loro di eludere i sistemi di rilevamento e colpire un vasto numero di vittime durante il periodo natalizio, quando molti giocatori erano alla ricerca di nuovi titoli da provare.

Cryptominer su alcuni giochi craccati per sfruttare la potenza dei PC gaming

La procedura di esecuzione del malware era decisamente articolata. Una volta scaricato e avviato il gioco, un dropper nascosto (unrar.dll) veniva decompresso ed eseguito in background. Questo componente effettuava una serie di controlli per assicurarsi di non trovarsi in un ambiente virtualizzato o monitorato, terminando immediatamente se rilevava strumenti di sicurezza. Superata questa fase iniziale, il malware procedeva a raccogliere informazioni dettagliate sul sistema ospite, inclusi dati su CPU, RAM e GPU, inviandoli a un server di comando e controllo. Infine, veniva installato il loader del malware (MTX64.exe) camuffato da file di sistema Windows, che si occupava di scaricare ed eseguire il miner XMRig, una versione modificata del popolare software per il mining di Monero.

Secondo quanto riportato da Kaspersky, la campagna StaryDobry ha colpito principalmente utenti in Germania, Russia, Brasile, Bielorussia e Kazakistan, iniziando alla fine di dicembre 2024 e concludendosi il 27 gennaio 2025. Gli esperti di sicurezza hanno evidenziato come il malware fosse progettato per operare solo su macchine con CPU da almeno otto core, mirando chiaramente a sfruttare le prestazioni dei computer da gaming più potenti. Il miner utilizzato nella campagna era stato modificato per costruire internamente la propria configurazione e monitorare costantemente la presenza di strumenti di sicurezza, spegnendosi automaticamente se rilevava software di monitoraggio dei processi. Inoltre, anziché connettersi a pool di mining pubblici, il malware utilizzava server privati, rendendo più difficile tracciare i proventi dell'attività illecita.

Sebbene Kaspersky non sia stata in grado di attribuire gli attacchi a un gruppo specifico, gli indizi raccolti suggeriscono che dietro l'operazione ci sia un attore di lingua russa. Questo episodio sottolinea l'importanza di acquisire software e giochi solo da fonti ufficiali e affidabili, qualora ci fosse ancora il bisogno di ripeterlo. È necessario essere consapevoli dei rischi associati al download di contenuti piratati, visto che sempre più spesso nascondono minacce di vario tipo. In particolare, la comunità dei giocatori è decisamente appetibile per i cryptominer, visto che i PC da gioco sono spesso dotati di caratteristiche hardware che li rendono ottimali per le operazioni di mining.