Büyük ölçekli bir kötü amaçlı yazılım kampanyası, Windows cihazlarını kimlik bilgileri, kimlik doğrulama jetonları ve kripto para cüzdanları çalan Infostealers ile enfekte eden kötü amaçlı modlar ve hileler ile Minecraft oyuncularını özellikle hedefler.
Check Point Research tarafından keşfedilen kampanya, Stargazers Ghost Network tarafından yürütülüyor ve Minecraft Massive Modding ekosisteminden ve GitHub gibi meşru hizmetlerden yararlanıyor ve potansiyel hedeflere sahip geniş bir kitleye ulaşmak için.
Check Point, tehdit aktörleri tarafından hedeflerin cihazlarına yükler sunmak için kullanılan pastebin bağlantılarında binlerce görüntüleme veya isabet gördü ve bu kampanyanın geniş erişimini gösterdi.
Gizli Minecraft kötü amaçlı yazılım
Stargazers Ghost Network, geçen yıldan bu yana GitHub’da aktif olan bir Hizmet Olarak Dağıtım (DAAS) işlemidir, ilk olarak Infostealers’ı yayan 3.000 hesabı içeren bir kampanyadaki Check Point ile belgelenmiştir.
Sahte Github yıldızları tarafından desteklenen aynı operasyon, 2024’ün sonlarında 17.000’den fazla sistemi yeni bir Godot tabanlı kötü amaçlı yazılımla bulaştı.
Check Point araştırmacıları Jaromír Hořejší ve Antonis Terefos tarafından açıklanan en son kampanya, Minecraft’ı tüm anti-virüs motorları tarafından tespit eden Java kötü amaçlı yazılımları hedefliyor.
Araştırmacılar, Stargazers tarafından işletilen, Minecraft modları ve SkyBlock Extras, Polar Client, Funnymap, Oringo ve Taunahi gibi hileler olarak gizlenmiş birden fazla Github depoları buldular.
Antonis Terefos, BleepingComputer’a verdiği demeçte, “Çatalanmış veya kopyalanmış olanlar da dahil olmak üzere, Minecraft oyuncularına yönelik bu operasyonun bir parçası olan yaklaşık 500 GitHub depounu tespit ettik.” Dedi.
“Ayrıca yaklaşık 70 hesap tarafından üretilen 700 yıldız gördük.”
Kaynak: Kontrol Noktası
Minecraft içinde yürütüldüğünde, birinci aşamalı kavanoz yükleyici, bir Java tabanlı stealer getirerek Base64 kodlu bir URL kullanarak Pastebin’den bir sonraki aşamayı indirir.
Bu Stealer, Minecraft Launcher’dan Minecraft Hesap Tokenlerini ve Kullanıcı Verilerini ve Feather, Lunar ve Essential gibi popüler üçüncü taraf başlatıcılarını hedefler.
Ayrıca, Discord ve Telegram Hesap belirteçlerini çalmaya çalışır ve çalınan verileri HTTP Post istekleri aracılığıyla saldırganın sunucusuna göndermeye çalışır.
Java Stealer ayrıca bir sonraki aşama için bir yükleyici olarak hizmet eder, daha “geleneksel” bir bilgi stealer olan ’44 kalibreli ‘adlı bir .NET tabanlı stealer, web tarayıcılarında depolanan bilgileri, VPN hesap verilerini, kripto para cüzdanları, buhar, uyumsuz ve diğer uygulamalarda yer alır.
Kaynak: Kontrol Noktası
44 Caliber ayrıca sistem bilgilerini ve pano verilerini toplar ve kurbanın bilgisayarının ekran görüntülerini alabilir.
“Deobfuscation’dan sonra tarayıcılardan (Chromium, Edge, Firefox), dosyalardan (masaüstü, %Userprofile %/kaynak) çeşitli kimlik bilgilerini çaldığını gözlemleyebiliriz (CriptoCwallet, Bitcoincore, Bytecoin, Bitcoincore, Litecoin, Dashcore, Elektrum, Ethere, Litecoin), Elektrum, Elektrum, Elektrum, Elektrum VPNS (ProtonVPN, OpenVPN, Nordvpn), Steam, Discord, Filezilla, Telegram, “araştırmacılara uyuyor.
Çalınan veriler, Rus yorumlarının eşlik ettiği Discord Webhooks aracılığıyla açıklandı. Bu ipucu, UTC+3 taahhüt zaman damgaları ile birleştiğinde, bu kampanyanın operatörlerinin Rus olduğunu gösteriyor.
Check Point, tehdidi algılamaya ve engellemeye yardımcı olmak için raporunun altındaki uzlaşma göstergelerini (IOCS) paylaştı.
Bu ve benzer kampanyalara karşı güvende kalmak için Microsoft oyuncuları yalnızca saygın platformlardan ve doğrulanmış topluluk portallarından modları indirmeli ve güvenilir yayıncılara bağlı kalmalıdır.
GitHub’dan indirilmeniz istenirse, başlangıç, çatal ve katkıda bulunanların sayısını kontrol edin, sahte aktivite belirtileri için taahhütleri inceleyin ve depodaki son eylemleri kontrol edin.
Nihayetinde, modları test ederken ayrı bir “brülör” Minecraft hesabı kullanmak ve ana hesabınıza giriş yapmaktan kaçınmak ihtiyatlı olacaktır.
Yama, karmaşık senaryolar, uzun saatler ve sonsuz yangın tatbikatları anlamına gelir. Artık değil.
Bu yeni kılavuzda Tines, modern BT kuruluşlarının otomasyonla nasıl dengelendiğini bozuyor. Daha hızlı yama, ek yükü azaltın ve stratejik çalışmaya odaklanın – karmaşık komut dosyaları gerekmez.