Специалисты по кибербезопасности из Check Point выявили масштабную хакерскую операцию, нацеленную на миллионную аудиторию игроков Minecraft. Злоумышленники распространяют опасные стилеры через поддельные игровые модификации и читы, что ставит под угрозу личные данные, криптовалютные активы и учетные записи пользователей Windows-устройств.
Масштаб угрозы: более 1500 потенциальных жертв
Анализ активности показал тысячи просмотров вредоносных ссылок на платформе Pastebin, что указывает на значительный охват кампании. Исследователи обнаружили около 500 поддельных репозиториев на GitHub, включая форкнутые копии, созданные специально для этой атаки. Дополнительно было выявлено примерно 700 фальшивых звезд, оставленных 70 подставными аккаунтами для повышения доверия к вредоносному контенту.
По предварительным оценкам экспертов, жертвами данной кибератаки могли стать более 1500 игроков, что делает её одной из крупнейших целевых атак на игровое сообщество в текущем году.
Связь с Stargazers Ghost Network
Данная атака связана с деятельностью печально известной Stargazers Ghost Network — специализированного сервиса для распространения вредоносного программного обеспечения. Эта сеть маскирует свою преступную деятельность, используя множество легитимно выглядящих репозиториев на GitHub.
В 2024 году было идентифицировано свыше 3000 GitHub-аккаунтов, через которые распространялись инфостилеры. Ранее эта же группировка, известная как Stargazer Goblin, была ответственна за распространение малвари GodLoader, заразившей более 17000 систем всего за три месяца.
Технические детали атаки
Хакеры создали поддельные репозитории, имитирующие популярные Minecraft-модификации: Skyblock Extras, Polar Client, FunnyMap, Oringo и Taunahi. Особую опасность представляет тот факт, что используемая Java-малварь практически не обнаруживается современными антивирусными решениями.
Механизм заражения работает поэтапно. После запуска в игре JAR-загрузчик использует закодированный в base64 URL-адрес для загрузки следующего этапа с Pastebin. Затем на устройство жертвы устанавливается Java-стилер, основной целью которого является кража:
Первичные цели Java-стилера:
• Токены учетных записей Minecraft и данные из официального лаунчера
• Информацию из популярных сторонних лаунчеров (Feather, Lunar, Essential)
• Токены аутентификации Discord и Telegram
• Передача украденных данных через POST-запросы на серверы злоумышленников
Двухуровневая система заражения
Java-стилер выполняет роль загрузчика для более мощного стилера 44 CALIBER, разработанного на платформе .NET. Этот «традиционный» стилер представляет значительно большую угрозу, поскольку нацелен на широкий спектр конфиденциальной информации:
Браузерные данные из Chromium, Edge, Firefox; файлы пользователя с рабочего стола и папки документов; криптовалютные кошельки включая Armory, AtomicWallet, BitcoinCore, Electrum, Ethereum, Exodus и другие; VPN-данные от ProtonVPN, OpenVPN, NordVPN; информацию из Steam, FileZilla и мессенджеров.
Дополнительно 44 CALIBER собирает системную информацию, данные буфера обмена и может создавать скриншоты экрана жертвы для получения дополнительной конфиденциальной информации.
Следы русскоязычных операторов
Украденная информация передается через Discord веб-хуки, сопровождаемые комментариями на русском языке. Анализ временных меток коммитов показывает активность в часовом поясе UTC+3, что позволяет экспертам предполагать участие русскоязычных киберпреступников в организации данной кампании.
Игроки Minecraft должны проявлять особую осторожность при загрузке модификаций и читов из неофициальных источников. Рекомендуется использовать только проверенные репозитории, регулярно обновлять антивирусное программное обеспечение и избегать установки модов от неизвестных разработчиков. Данная атака демонстрирует растущую тенденцию целевых кибератак на игровые сообщества, что требует повышенной бдительности от пользователей.
