Yeni bir çok aşamalı kötü amaçlı yazılım kampanyası, Minecraft kullanıcılarını Stargazers Ghost Network adlı bir hizmet olarak dağıtım (DAAS) sunan Java tabanlı bir kötü amaçlı yazılımla hedefliyor.
Hacker News ile paylaşılan bir raporda, “Kampanyalar, Minecraft kullanıcılarını özellikle hedefleyen çok aşamalı bir saldırı zinciriyle sonuçlandı.” Dedi.
“Kötü amaçlı yazılım, ‘senaryolar ve makro araçları’ (diğer adıyla hileler) olan Oringo ve Taunahi’yi taklit ediyordu. Hem birinci hem de ikinci aşamalar Java’da geliştirilir ve yalnızca Minecraft çalışma zamanı ana makineye yüklenirse yürütülebilir.”
Saldırının nihai amacı, oyuncuları GitHub’dan bir Minecraft modunu indirmeye ve kapsamlı veri hırsızlığı özelliklerine sahip bir .NET bilgi çalma sunmak için kandırmaktır. Kampanya ilk olarak siber güvenlik şirketi tarafından Mart 2025’te tespit edildi.
Etkinliği dikkate değer kılan şey, Stargazers Ghost Network adlı yasadışı bir teklif kullanmasıdır, bu da binlerce GitHub hesaplarını, çatlak yazılım ve oyun hileleri olarak maskelenen lekeli depolar kurmak için kullanır.
Minecraft modları olarak görünen bu kötü niyetli depolar, popüler video oyununun kullanıcılarını tüm antivirüs motorları tarafından yazma olarak tespit edilmeyen bir Java yükleyicisi (örn., “Oringo-1.8.9.jar”) ile enfekte etmek için bir kanal görevi görür.
Java Arşivi (JAR) dosyaları, algılama çabalarını ortadan kaldırmak için basit VM anti-VM ve anti-analiz teknikleri uygular. Temel amaçları, oyun kurban tarafından başlatıldığında son yük olarak bir .NET stealer’ı getiren ve yürüten ikinci aşamalı bir stealer olan başka bir jar dosyasını indirmek ve çalıştırmaktır.
İkinci aşama bileşeni, temelde macun aletini ölü bir damla çözücü haline getiren baz64 kodlu formatta saklanan bir IP adresinden (“147.45.79.104”) alınır.
Araştırmacılar, “Bir Minecraft oyununa mod eklemek için kullanıcı, kötü amaçlı kavanoz arşivini Minecraft Mods klasörüne kopyalamalıdır. Oyuna başladıktan sonra, Minecraft işlemi ikinci aşamayı indirecek ve yürütecek kötü amaçlı mod da dahil olmak üzere tüm modları klasörden yükleyecektir.” Dedi.
.NET Stealer’ı indirmenin yanı sıra, ikinci aşama stealer, Discord ve Minecraft jetonlarını ve telgrafla ilgili verileri çalmak için donanımlıdır. Öte yandan .NET Stealer, çeşitli web tarayıcılarından ve dosyaları toplama ve kripto para birimi cüzdanlarından ve Steam ve Filezilla gibi diğer uygulamalardan bilgiler toplama yeteneğine sahiptir.
Ayrıca ekran görüntüleri alabilir ve çalışan işlemler, sistemin harici IP adresi ve pano içeriği ile ilgili bilgileri toplayabilir. Yakalanan bilgiler sonunda bir araya gelir ve bir anlaşmazlık webhook aracılığıyla saldırgana geri aktarılır.
Kampanyanın, Rus dilinde yazılmış birkaç eserin varlığı ve saldırganın taahhütlerinin saat diliminin varlığı nedeniyle Rusça konuşan bir tehdit oyuncusunun çalışması olduğundan şüpheleniliyor (UTC+03: 00). 1.500’den fazla cihazın plana avlanmış olabileceği tahmin edilmektedir.
Araştırmacılar, “Bu dava, oyun topluluklarının kötü amaçlı yazılım dağıtımı için etkili vektörler olarak nasıl kullanılabileceğini ve üçüncü taraf içeriğini indirirken dikkatin önemini vurgulayabileceğini vurgulamaktadır.” Dedi.
“Stargazers Ghost Network, bu kötü amaçlı yazılımları aktif olarak dağıtıyor, oyunlarını geliştirmek için mod arayan Minecraft oyuncularını hedefliyor. Aslında, zararsız indirmeler gibi görünen şey, kimlik bilgilerini ve diğer hassas verileri yaymak yeteneğine sahip iki ek çalıcılar dağıtan Java tabanlı yükleyicilerdi.”
Kimjongrat Stealer’ın yeni varyantları tespit edildi
Geliştirme, Palo Alto Networks Birimi 42, Babyshark ve çalınan kalemlerin arkasındaki aynı Kuzey Kore tehdit oyuncusuna bağlı olan Kimjongrat kodlu bir bilgi stealer’ın iki yeni varyantı olarak geliyor. Kimjongrat, Mayıs 2013’e kadar vahşi doğada tespit edildi ve Babyshark saldırılarında ikincil bir yük olarak teslim edildi.
Güvenlik araştırmacısı Dominik Reichel, “Yeni varyantlardan biri taşınabilir bir yürütülebilir (PE) dosyası kullanıyor ve diğeri bir PowerShell uygulaması kullanıyor.” Dedi. “PE ve PowerShell varyantları, saldırgan kontrolündeki bir içerik dağıtım ağı (CDN) hesabından bir damlalık dosyasını indiren bir Windows kısayol (LNK) dosyasını tıklatarak başlatılır.”
PE varyantının damlası bir yükleyici, bir tuzak PDF ve bir metin dosyası dağıtırken, PowerShell varyantındaki damlalık, bir zip arşivi ile birlikte bir tuzak PDF dosyasını dağıtır. Yükleyici, Kimjongrat için Stealer bileşeni de dahil olmak üzere yardımcı yükleri indirir.
PowerShell varyantının damlası tarafından verilen zip arşivi, Kimjongrat PowerShell tabanlı stealer ve Keylogger bileşenlerini gömen komut dosyaları içerir.
Her iki yeni enkarnasyon, kurban bilgilerini toplayabilir ve aktarabilir, belirli uzantıları eşleştirebilir ve kripto para birimi cüzdan uzantılarından kimlik bilgileri ve ayrıntılar gibi tarayıcı verileri. Kimjongrat’ın PE varyantı ayrıca FTP’yi hasat etmek ve istemci bilgilerini e -posta ile göndermek için tasarlanmıştır.
Ünite 42, “Dağıtımını gizlemek için meşru bir CDN sunucusu kullanma gibi değişen teknikler içeren Kimjongrat’ın sürekli geliştirilmesi ve konuşlandırılması açık ve devam eden bir tehdit gösteriyor.” Dedi. Diyerek şöyle devam etti: “Bu uyarlanabilirlik sadece bu tür kötü amaçlı yazılımların ortaya koyduğu sürekli tehdidi sergilemekle kalmaz, aynı zamanda geliştiricilerinin yeteneklerini güncelleme ve genişletme taahhüdünün de altını çiziyor.”