Хакеры крадут пароли игроков через поддельные моды Minecraft на GitHub

Масштабная вредоносная кампания нацелена на игроков Minecraft с помощью вредоносных модов и читов, которые заражают устройства Windows вредоносным ПО для кражи учетных данных, токенов аутентификации и криптовалютных кошельков.

Кампания, обнаруженная Check Point Research, проводится Stargazers Ghost Network и использует масштабную экосистему моддинга Minecraft и легитимные сервисы, такие как GitHub, для охвата большой аудитории потенциальных целей.

Check Point наблюдала тысячи просмотров или переходов по ссылкам Pastebin, используемым злоумышленниками для доставки полезных нагрузок на устройства целей, что указывает на широкий охват этой кампании.

Скрытое вредоносное ПО для Minecraft

Stargazers Ghost Network — это операция по модели «вредоносное ПО как услуга» (DaaS), активно действующая на GitHub с прошлого года. Впервые ее зафиксировали специалисты из Check Point в рамках кампании, в которой участвовали 3000 аккаунтов, распространявших инфостилеры.

Аналогичная кампания, в которой для повышения доверия использовались поддельные звезды на GitHub, в конце 2024 года заразила более 17 000 систем новым зловредом, созданным на движке Godot.

Последняя кампания, описанная исследователями Check Point Яромиром Горжейши (Jaromir Horejsi) и Антонисом Терефосом (Antonis Terefos), нацелена на Minecraft с помощью вредоносного ПО Java, которое обходит стороной все антивирусные движки.

Исследователи обнаружили несколько репозиториев GitHub, управляемых Stargazers, замаскированных под моды и читы Minecraft, такие как Skyblock Extras, Polar Client, FunnyMap, Oringo и Taunahi.

Антонис Терефос сообщил:

Мы обнаружили около 500 репозиториев на GitHub, включая форки и копии, которые участвовали в этой кампании, направленной против игроков Minecraft.

Мы также увидели 700 звезд, полученных примерно 70 аккаунтами.

После запуска в Minecraft загрузчик JAR первого этапа загружает следующий этап из Pastebin, используя URL-адрес в кодировке base64, извлекая стиллер на основе Java.

Этот стиллер нацелен на токены учетных записей Minecraft и пользовательские данные из лаунчера Minecraft и популярных сторонних лаунчеров, таких как Feather, Lunar и Essential.

Угроза также пытается украсть токены учетных записей Discord и Telegram, отправляя украденные данные через запросы HTTP POST на сервер злоумышленника.

Java-шпион также служит загрузчиком для следующего этапа, .NET-шпиона под названием «44 CALIBER», который является более «традиционным» представителем вредоносного ПО для кражи информации, пытающимся заполучить информацию, хранящуюся в веб-браузерах, данных учетных записей VPN, криптовалютных кошельках, Steam, Discord и других приложениях.

44 CALIBER также собирает системную информацию и данные буфера обмена и может делать снимки экрана компьютера жертвы.

Исследователи предупреждают:

После деобфускации мы можем наблюдать, что он крадет различные учетные данные из браузеров (Chromium, Edge, Firefox), файлов (Desktop, Documents, %USERPROFILE%/Source), криптовалютных кошельков (Armory, AtomicWallet, BitcoinCore, Bytecoin, DashCore, Electrum, Ethereum, LitecoinCore, Monero, Exodus, Zcash, Jaxx), VPN (ProtonVPN, OpenVPN, NordVPN), Steam, Discord, FileZilla, Telegram.

Check Point поделилась полными индикаторами компрометации (IoC) в своем отчете, чтобы помочь обнаружить и заблокировать угрозу.

Чтобы защититься от этой и подобных кампаний, игрокам Microsoft следует загружать моды только с надежных платформ и проверенных порталов, а также обращаться к проверенным издателям.

Если вам предложат загрузить мод с GitHub, проверьте количество запусков, форков и участников, тщательно проверьте коммиты на предмет признаков фальшивой активности и проверьте недавние действия в репозитории.

В конечном счете, разумно использовать отдельную учетную запись Minecraft для «запуска» при тестировании модов и избегать входа в свою основную учетную запись.