Дослідники з компанії Check Point виявили масштабну кіберкампанію, спрямовану проти мільйонної аудиторії гравців Minecraft. Кіберзлочинці використовують поддані ігрові модифікації та чіти для розповсюдження небезпечного шкідливого програмного забезпечення, здатного викрадати особисті дані, криптовалютні активи та облікові записи користувачів.
Масштаби кіберкампанії: понад 1500 потенційних жертв
Аналіз активності зловмисників показав тисячі переглядів шкідливих посилань на платформі Pastebin, що свідчить про значний охоплення кампанії. Експерти виявили близько 500 підроблених репозиторіїв на GitHub, включаючи форковані копії, створені спеціально для цієї атаки. Додатково було ідентифіковано приблизно 700 фальшивих “зірок” від 70 підставних акаунтів для підвищення довіри до шкідливого контенту.
За попередніми оцінками фахівців з кібербезпеки, жертвами даної атаки могли стати понад 1500 гравців, що робить її однією з найбільших цільових атак на ігрове співтовариство у поточному році.
Зв’язок з мережею Stargazers Ghost Network
Ця кіберкампанія пов’язана з діяльністю відомої Stargazers Ghost Network — спеціалізованого сервісу для розповсюдження малвару. Дана мережа маскує свою злочинну діяльність, використовуючи численні легітимно виглядаючі репозиторії на GitHub.
У 2024 році було ідентифіковано понад 3000 GitHub-акаунтів, через які розповсюджувались інфостилери. Раніше ця ж група, відома як Stargazer Goblin, була відповідальною за поширення малвару GodLoader, який заразив понад 17000 систем лише за три місяці.
Технічний аналіз атаки
Хакери створили підроблені репозиторії, що імітують популярні Minecraft-модифікації: Skyblock Extras, Polar Client, FunnyMap, Oringo та Taunahi. Особливу небезпеку становить той факт, що використовувана Java-малварь практично не виявляється сучасними антивірусними рішеннями.
Механізм зараження працює поетапно. Після запуску в грі JAR-завантажувач використовує закодований у base64 URL-адресу для завантаження наступного етапу з Pastebin. Потім на пристрій жертви встановлюється Java-стилер, основною метою якого є крадіжка різноманітних даних.
Основні цілі Java-стилера
Первинний стилер зосереджується на викраденні токенів облікових записів Minecraft та даних з офіційного лаунчера, інформації з популярних сторонніх лаунчерів (Feather, Lunar, Essential), токенів аутентифікації Discord та Telegram. Вкрадені дані передаються через POST-запити на сервери зловмисників.
Дворівнева система зараження
Java-стилер виконує роль завантажувача для потужнішого стилера 44 CALIBER, розробленого на платформі .NET. Цей “традиційний” стилер становить значно більшу загрозу, оскільки націлений на широкий спектр конфіденційної інформації.
44 CALIBER викрадає браузерні дані з Chromium, Edge, Firefox, файли користувача з робочого столу та папки документів, криптовалютні гаманці включаючи Armory, AtomicWallet, BitcoinCore, Electrum, Ethereum, Exodus та інші. Також стилер збирає VPN-дані від ProtonVPN, OpenVPN, NordVPN та інформацію зі Steam, FileZilla та месенджерів.
Додатково малвар збирає системну інформацію, дані буфера обміну та може створювати скриншоти екрана жертви для отримання додаткової конфіденційної інформації.
Сліди російськомовних операторів
Вкрадена інформація передається через Discord вебхуки, супроводжувані коментарями російською мовою. Аналіз часових міток комітів показує активність у часовому поясі UTC+3, що дозволяє експертам припускати участь російськомовних кіберзлочинців в організації даної кампанії.
Гравці Minecraft повинні проявляти особливу обережність при завантаженні модифікацій та чітів з неофіційних джерел. Рекомендується використовувати лише перевірені репозиторії, регулярно оновлювати антивірусне програмне забезпечення та уникати встановлення модів від невідомих розробників. Дана атака демонструє зростаючу тенденцію цільових кібератак на ігрові спільноти, що вимагає підвищеної пильності від користувачів.
