‘Stargazers’ menggunakan mod minecraft palsu untuk mencuri kata sandi pemain

Kampanye malware skala besar secara khusus menargetkan pemain Minecraft dengan mod jahat dan cheat yang menginfeksi perangkat Windows dengan infostealer yang mencuri kredensial, token otentikasi, dan dompet cryptocurrency.

Kampanye, Ditemukan oleh Cek Check Point Researchdilakukan oleh Stargazers Ghost Network dan memanfaatkan ekosistem modding besar Minecraft dan jasa yang sah seperti GitHub untuk menjangkau banyak target potensial.

Titik Periksa telah melihat ribuan tampilan, atau hit, pada tautan Pastebin yang digunakan oleh para aktor ancaman untuk mengirimkan muatan ke perangkat target, yang menunjukkan jangkauan luas kampanye ini.

Malware Minecraft Stealthy

The Stargazers Ghost Network adalah operasi distribusi-sebagai-layanan (DAAS) yang aktif di GitHub sejak tahun lalu, pertama kali didokumentasikan oleh Cek Titik dalam kampanye yang melibatkan 3.000 akun menyebarkan infostealer.

Operasi yang sama, yang didorong oleh Bintang GitHub palsudiamati menginfeksi lebih dari 17.000 sistem Pada akhir 2024 dengan malware berbasis Godot.

Kampanye terbaru yang dijelaskan oleh peneliti Cek Check Point Jaromír Hořejší dan Antonis Terefos menargetkan minecraft dengan malware java yang menghindari deteksi oleh semua mesin anti-virus.

Para peneliti menemukan beberapa repositori gitub yang dijalankan oleh Stargazers, menyamar sebagai mod Minecraft dan cheat seperti SkyBlock Extra, Klien Polar, Funnymap, Oringo, dan Taunahi.

“Kami telah mengidentifikasi sekitar 500 repositori gitub, termasuk yang bercabang atau disalin, yang merupakan bagian dari operasi ini yang ditujukan untuk pemain Minecraft,” kata Antonis Terefos kepada BleepingComputer.

“Kami juga telah melihat 700 bintang yang diproduksi oleh sekitar 70 akun.”

Setelah dieksekusi di dalam Minecraft, JAR Loader tahap pertama mengunduh tahap berikutnya dari Pastebin menggunakan URL yang dikodekan Base64, mengambil pencuri yang berbasis di Java.

Pencuri ini menargetkan token akun Minecraft dan data pengguna dari peluncur Minecraft dan peluncur pihak ketiga yang populer seperti Feather, Lunar, dan Essential.

Ia juga mencoba mencuri token akun perselisihan dan telegram, mengirimkan data curian melalui permintaan HTTP Post ke server penyerang.

Pencuri Java juga berfungsi sebagai loader untuk tahap berikutnya, pencuri berbasis .NET yang disebut ’44 Calibre, ‘yang merupakan pencuri info yang lebih “tradisional”, mencoba merebut informasi yang disimpan di browser web, data akun VPN, dompet cryptocurrency, steam, dispord, dan aplikasi lainnya.

44 Kaliber juga mengumpulkan informasi sistem dan data clipboard dan dapat mengambil tangkapan layar komputer korban.

“After deobfuscation we can observe that it steals various credentials from browsers (Chromium, Edge, Firefox), files (Desktop, Documents, %USERPROFILE%/Source), Cryptocurrency wallets (Armory, AtomicWallet, BitcoinCore, Bytecoin, DashCore, Electrum, Ethereum, LitecoinCore, Monero, Exodus, Zcash, Jaxx), VPN (ProtonVPN, OpenVPN, NordVPN), Steam, Perselisihan, FileZilla, Telegram, “memperingatkan para peneliti.

Data curian dieksfiltrasi melalui Discord Webhooks, disertai dengan komentar Rusia. Petunjuk ini, dikombinasikan dengan comestamps komit UTC+3, menunjukkan bahwa operator kampanye ini adalah orang Rusia.

Titik Periksa telah berbagi indikator penuh kompromi (IOC) di bagian bawah laporannya untuk membantu mendeteksi dan memblokir ancaman.

Untuk tetap aman melawan kampanye ini dan serupa, pemain Microsoft hanya boleh mengunduh mod dari platform terkemuka dan portal komunitas yang diverifikasi dan tetap berpegang pada penerbit tepercaya.

Jika diminta untuk mengunduh dari GitHub, periksa jumlah start, garpu, dan kontributor, meneliti komit untuk tanda -tanda aktivitas palsu, dan periksa tindakan terbaru pada repositori.

Pada akhirnya, lebih bijaksana untuk menggunakan akun Minecraft “burner” terpisah saat menguji mod dan menghindari masuk ke akun utama Anda.