Многоэтапная вредоносная кампания атакует пользователей Minecraft через Stargazers Ghost Network
Недавнее исследование компании Check Point выявило сложную вредоносную кампанию, направленную на пользователей популярной игры Minecraft. Злоумышленники используют сеть Stargazers Ghost Network, а также платформу GitHub для распространения зараженного контента, маскирующегося под легитимные моды для игры.
Суть атаки и ее этапы
Кампания начинается с заражения пользовательской системы вредоносным Java-архивом (JAR), который выдается за мод для Minecraft. Для успешного заражения на устройстве жертвы должна присутствовать среда выполнения игры.
- Пользователь загружает и вручную устанавливает поддельный мод в каталог модов Minecraft.
- При запуске игры мод извлекает stealer второго уровня с платформы Pastebin.
- Далее загружается более продвинутый stealer, основанный на технологии .NET, именуемый как SSHaccess, который выполняет масштабный сбор данных.
Продвинутые методы обхода защиты
Вредоносное ПО демонстрирует изощренные тактики обхода антивирусных решений и сред виртуальных машин. В частности, оно проверяет присутствие ключевых слов из черного списка и отслеживает процессы, связанные с виртуализацией и отладкой, чтобы не запускаться в условиях анализа.
Что именно украдывает .NET stealer?
Главной целью SSHaccess является сбор конфиденциальной информации, связанной с учетными записями Minecraft и других сервисов. Среди добываемых данных особое внимание уделяется:
- Файлам токенов клиентов Minecraft — таких, как Feather, Essential и Lunar.
- Токенам мессенджеров и платформ Discord и Telegram.
- Учетным данным браузеров и приложений, включая криптовалютные кошельки, VPN-сервисы и игровые клиенты типа Steam.
Все собранные данные упаковываются и добавляются статистические данные, записываемые на русском языке, после чего отправляются в формате JSON на указанный URL. В конечном итоге информация попадает на веб-сайт Discord для дальнейшего использования злоумышленниками.
Особенности и выявленные языковые артефакты
Версия этого перехватчика прописана как b0.5. Исследователи отмечают наличие явных признаков, указывающих на русскоязычную принадлежность автора вредоносного ПО. В частности, это выражается в лингвистических артефактах, обнаруженных как в комментариях к коду, так и в самой структуре вредоносного ПО.
Выводы и рекомендации
Данная кампания служит напоминанием о повышенных рисках при загрузке сторонних модификаций, особенно из непроверенных и неофициальных источников, даже в игровых сообществах. Использование общедоступных платформ GitHub и Pastebin для распространения вредоносных компонентов подчеркивает важность внимательной проверки каждого загружаемого файла.
Рекомендации для пользователей Minecraft и других игровых платформ:
- Избегать скачивания модов и скриптов из неизвестных источников.
- Использовать надежные антивирусные решения с обновленными базами.
- Следить за активностью процессов и подозрительными файлами в директориях игры.
- Регулярно обновлять версии используемых клиентов и ПО безопасности.
С учетом роста активности подобных кампаний критически важно сохранять бдительность и не пренебрегать базовыми правилами цифровой гигиены.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Многоэтапная кибератака через моды Minecraft и Stargazers Ghost Network".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.