一場大規模的惡意軟件活動專門針對《我的世界》玩家,他們使用惡意模型和欺騙手段感染 Windows 設備,通過信息竊取器竊取憑證、身份驗證令牌和加密貨幣錢包。
該活動由 Check Point Research 發現,由 Stargazers Ghost Network 進行,并利用《我的世界》大規模建模生態系統和 GitHub 等合法服務來吸引大量潛在目標受眾。
Check Point 在 Pastebin 鏈接上看到了成千上萬的瀏覽量或點擊量,這些瀏覽量被威脅者用來向目標設備發送有效載荷,此次活動的影響范圍廣泛。
隱秘的 Minecraft 惡意軟件
Stargazers 幽靈網絡是一種自去年以來活躍在 GitHub 上的分發即服務(DaaS)操作,首次被 Check Point 記錄在涉及 3000 個傳播虛假信息的賬戶的活動中。
同樣的操作,由虛假的 GitHub 星標推動,被觀察到在 2024 年底感染了超過 17000 個系統,使用了一種新型的基于 Godot 的惡意軟件。
由 Check Point 研究人員 Jarom í r Ho ej í 和 Antonis Terefos 描述的最新活動用 Java 惡意軟件攻擊《我的世界》,該惡意軟件可以逃避所有反病毒引擎的檢測。
研究人員發現了多個由 Stargazers 運行的 GitHub 存儲庫,偽裝成《我的世界》(Minecraft)模型和 Skyblock Extras、Polar Client、FunnyMap、Oringo 和 Taunahi 等作弊工具。
Antonis Terefos 表示目前已經確定了大約 500 個 GitHub 存儲庫,包括那些分叉或復制的,它們是針對《我的世界》玩家的行動的一部分。另外,還看到了大約 70 個賬戶產生的 700 顆星星。
一旦在 Minecraft 中執行,第一階段的 JAR 加載器使用 base64 編碼的 URL 從 Pastebin 下載下一階段,獲取基于 java 的竊取器。
這個竊取者的目標是 Minecraft 賬戶令牌和來自 Minecraft 啟動器和流行的第三方啟動器(如 Feather, Lunar 和 Essential)的用戶數據。
它還試圖竊取 Discord 和 Telegram 帳戶令牌,通過 HTTP POST 請求將竊取的數據發送到攻擊者的服務器。
Java 竊取程序還可以作為下一階段的加載程序,這是一個基于。net 的竊取程序,名為 "44 CALIBER",這是一個更 " 傳統 " 的信息竊取程序,試圖竊取存儲在網絡瀏覽器、VPN 帳戶數據、加密貨幣錢包、Steam、Discord 和其他應用程序中的信息。
44 CALIBER 還收集系統信息和剪貼板數據,并可以抓取受害者電腦的屏幕截圖。
研究人員說:" 在去混淆之后,我們可以觀察到它從瀏覽器(Chromium, Edge, Firefox),文件(Desktop, Documents, %USERPROFILE%/Source),加密貨幣錢包(Armory, AtomicWallet, bitcoore, Bytecoin, DashCore, Electrum, Ethereum, LitecoinCore, Monero, Exodus, Zcash, Jaxx), vpn ( ProtonVPN, OpenVPN, NordVPN ) , Steam, Discord, FileZilla, Telegram 中竊取各種憑證。"
被盜數據是通過 Discord 的網絡鉤子泄露出來的,并附有俄羅斯的評論。這個線索,結合 UTC+3 提交時間戳,表明這個活動的操作者是俄羅斯人。
Check Point 在其報告的底部分享了完整的入侵指標(ioc),以幫助檢測和阻止威脅。
為了確保安全,微軟玩家應該只從信譽良好的平臺和經過驗證的社區門戶網站下載 mod。如果提示從 GitHub 下載,請檢查啟動、分叉和貢獻者的數量,仔細檢查提交是否有虛假活動的跡象,并檢查存儲庫上最近的操作。最后,謹慎的做法是在測試 mod 時使用單獨的 "burner"Minecraft 賬戶,避免登錄到其主賬戶。
