Cybersecurity-Forscher von Check Point haben eine großangelegte Malware-Kampagne aufgedeckt, die gezielt Millionen von Minecraft-Spielern ins Visier nimmt. Die Angreifer nutzen manipulierte Spielmodifikationen und Cheats als Köder, um hochentwickelte Stealer-Malware zu verbreiten und dabei sensible Nutzerdaten, Kryptowährungen und Zugangsdaten zu stehlen.
Umfang der Bedrohung: Über 1.500 potenzielle Opfer identifiziert
Die Analyse der Angriffskampagne zeigt ein besorgniserregendes Ausmaß: Tausende von Aufrufen schädlicher Links auf der Pastebin-Plattform belegen die weitreichende Verbreitung der Malware. Sicherheitsforscher dokumentierten etwa 500 gefälschte GitHub-Repositories, darunter Fork-Kopien legitimer Projekte, die speziell für diese Kampagne erstellt wurden.
Besonders raffiniert ist die Manipulation der Vertrauenssignale: Rund 700 gefälschte Sterne wurden von 70 Fake-Accounts vergeben, um den schädlichen Repositories einen legitimen Anstrich zu verleihen. Ersten Schätzungen zufolge könnten bereits über 1.500 Spieler von dieser Cyberattacke betroffen sein, was sie zu einer der größten zielgerichteten Angriffe auf Gaming-Communities in diesem Jahr macht.
Verbindung zum Stargazers Ghost Network
Die aktuelle Kampagne steht in direktem Zusammenhang mit dem berüchtigten Stargazers Ghost Network, einem spezialisierten Malware-Verteilungsnetzwerk. Diese kriminelle Organisation tarnt ihre Aktivitäten durch die Verwendung scheinbar legitimer GitHub-Repositories und hat bereits eine beträchtliche Infrastruktur aufgebaut.
Allein 2024 identifizierten Sicherheitsexperten über 3.000 GitHub-Accounts, die zur Verbreitung von Infostealer-Malware genutzt wurden. Die Gruppe, auch bekannt als Stargazer Goblin, war bereits für die Verbreitung der GodLoader-Malware verantwortlich, die innerhalb von nur drei Monaten mehr als 17.000 Systeme infizierte.
Technische Analyse der Angriffsvektoren
Die Cyberkriminellen haben gefälschte Repositories populärer Minecraft-Modifikationen erstellt, darunter Skyblock Extras, Polar Client, FunnyMap, Oringo und Taunahi. Besonders beunruhigend ist die Tatsache, dass die verwendete Java-basierte Malware von den meisten aktuellen Antivirus-Lösungen nicht erkannt wird.
Der Infektionsmechanismus folgt einem mehrstufigen Ansatz: Nach der Ausführung im Spiel verwendet der JAR-Loader eine Base64-kodierte URL, um die nächste Stufe von Pastebin herunterzuladen. Anschließend wird ein Java-Stealer auf dem Zielsystem installiert, der speziell darauf ausgelegt ist, gaming-spezifische Daten zu extrahieren.
Primäre Ziele des Java-Stealers
• Minecraft-Account-Token und Daten aus dem offiziellen Launcher
• Informationen aus beliebten Third-Party-Launchern wie Feather, Lunar und Essential
• Authentifizierungs-Token von Discord und Telegram
• Übertragung gestohlener Daten via POST-Requests an Angreifer-Server
Zweistufiges Infektionssystem mit 44 CALIBER
Der Java-Stealer fungiert als Loader für eine weitaus gefährlichere .NET-basierte Malware namens 44 CALIBER. Dieser „traditionelle“ Stealer stellt eine erheblich größere Bedrohung dar, da er auf ein breites Spektrum sensibler Informationen abzielt und dabei systematisch vorgeht.
Das Schadprogramm extrahiert Browser-Daten aus Chromium, Edge und Firefox, sammelt Benutzerdateien vom Desktop und aus Dokumentenordnern und zielt gezielt auf Kryptowährungs-Wallets ab, einschließlich Armory, AtomicWallet, BitcoinCore, Electrum, Ethereum und Exodus. Zusätzlich werden VPN-Konfigurationen von ProtonVPN, OpenVPN und NordVPN sowie Daten aus Steam, FileZilla und Messaging-Anwendungen kompromittiert.
44 CALIBER verfügt über erweiterte Funktionen zur Systemanalyse, überwacht die Zwischenablage und kann Screenshots des Opfer-Bildschirms erstellen, um zusätzliche vertrauliche Informationen zu erfassen.
Indizien für russischsprachige Akteure
Die Analyse der Malware-Infrastruktur liefert wichtige Hinweise auf die Herkunft der Angreifer. Gestohlene Informationen werden über Discord-Webhooks übertragen, begleitet von Kommentaren in russischer Sprache. Die Zeitstempel der Code-Commits zeigen Aktivitäten in der Zeitzone UTC+3, was auf die Beteiligung russischsprachiger Cyberkrimineller hinweist.
Minecraft-Spieler sollten beim Download von Modifikationen und Cheats aus inoffiziellen Quellen höchste Vorsicht walten lassen. Die Verwendung ausschließlich vertrauenswürdiger Repositories, regelmäßige Updates der Antivirus-Software und das Vermeiden von Mods unbekannter Entwickler sind essenzielle Schutzmaßnahmen. Diese Angriffskampagne verdeutlicht den wachsenden Trend gezielter Cyberattacken auf Gaming-Communities und unterstreicht die Notwendigkeit erhöhter Wachsamkeit seitens der Nutzer.
