Ekspertët e Check Point Research kanë zbuluar një fushatë malware në shkallë të gjerë, të kryer nga Stargazers Ghost Network, që synon modifikimet e Minecraft, një lojë popullore e zhvilluar nga Mojang Studios (e blerë nga Microsoft në vitin 2014). Qëllimi i kriminelëve kibernetikë është të vjedhin të dhënat e lojtarëve përmes vjedhësve të informacionit.
Përshkrimi i teknikës dhe malware-it
Stargazers Ghost Network është një DaaS (Shpërndarje si Shërbim) që shfrytëzon GitHub për të mashtruar përdoruesit dhe për të infektuar pajisjet. Përveç lojës origjinale, ekzistojnë versione të shumta të modifikuara (mode) të Minecraft që përmirësojnë përvojën e lojërave me grafikë më të mirë dhe përmbajtje shtesë.
Stargazers ka krijuar rreth 500 depo në GitHub për të shpërndarë modifikime të supozuara të Minecraft. Ato duken të ligjshme sepse kanë marrë mbi 700 yje GitHub nga rreth 70 llogari, por në realitet është e gjitha e rreme. Depot përmbajnë skedarë JAR që, kur instalohen, fillojnë zinxhirin e infeksionit shumëfazor.
Faza e parë është një ngarkues Java që, kur ekzekutohet në fillimin e lojës, i mbyt proceset e lidhura me makinat virtuale dhe shkarkon një vjedhës informacioni Java nga Pastebin. Ky vjedh tokenët e llogarisë Minecraft, si dhe tokenët Telegram dhe Discord. Më pas shkarkohet një vjedhës informacioni i dytë, më “tradicional” .NET. Malware vjedh kredencialet e ruajtura në shfletues, portofolet e kriptomonedhave dhe aplikacione të tjera, duke përfshirë Telegram, FileZilla dhe VPN.
Ai gjithashtu mbledh informacione rreth kompjuterit, përmbajtjes së clipboard-it dhe merr një pamje të ekranit. Të dhënat më pas nxirren nëpërmjet webhook-eve të Discord. Përdoruesit duhet të shkarkojnë vetëm modifikime nga burime të besueshme dhe të përdorin një llogari të ndryshme nga ajo kryesore për të testuar këto versione të modifikuara të lojës.
Discussion about this post