Российские хакеры атакуют геймеров Minecraft через поддельные моды для кражи данных

Многоэтапная атака начинается с загрузки Java-мода, который требует наличия установленной игры на устройстве жертвы. Второй этап включает в себя загрузку стилера (программы для кражи данных), а третий - более продвинутого .NET-стелера с расширенными возможностями. Особенность этой угрозы в том, что вредоносный код написан на Java, что позволяет ему обходить многие системы защиты, так как антивирусные решения часто не уделяют достаточного внимания анализу Java-приложений.

Анализ кода и метаданных указывает на то, что разработчиком вредоносного ПО является русскоязычный злоумышленник. В коде обнаружены комментарии на русском языке, а временные метки коммитов в репозиториях соответствуют часовому поясу UTC+3.

Пользователи Minecraft, ищущие моды для улучшения игрового процесса, загружают вредоносные JAR-файлы с GitHub. Эти файлы выглядят как легальные моды, но на самом деле содержат вредоносный код. После установки и запуска игры мод активируется и начинает загружать дополнительные вредоносные компоненты.

Первая стадия загрузчика проверяет окружение на наличие виртуальных машин и средств анализа, таких как Wireshark или VMware. Если подозрительная активность не обнаружена, загрузчик обращается к Pastebin, где получает ссылку на второй этап атаки. Второй этап - это Java-стелер, который крадет данные игроков, включая токены Minecraft, учетные записи Discord, Telegram и другие конфиденциальные данные.

Третий этап - .NET-стелер - обладает еще более широкими возможностями. Он собирает пароли из браузеров, данные криптокошельков, информацию о VPN-сервисах и даже делает скриншоты экрана. Все украденные данные архивируются и отправляются злоумышленникам через Discord-вебхук.

Основная цель атаки - игроки Minecraft, скачивающие сторонние моды. Учитывая популярность игры (более 200 миллионов активных пользователей в месяц), масштабы угрозы могут быть значительными. По данным Check Point Research, только через Pastebin было зафиксировано более 1500 обращений к вредоносным ссылкам, что говорит о потенциально большом числе зараженных устройств.

Эта кампания демонстрирует, как злоумышленники используют популярные игровые платформы для распространения вредоносного ПО. Java-моды, остающиеся незамеченными многими системами защиты, становятся удобным инструментом для киберпреступников. Игрокам стоит быть особенно осторожными при установке стороннего контента, а разработчикам - уделять больше внимания безопасности своих решений.

Domains

• xn--c1adxo9c.xn--p1ai

URLs

• http://147.45.79.104/download
• http://185.95.159.125/upload
• http://xn--c1adxo9c.xn--p1ai/MixinLoader-v2.4.jar
• https://github.com/A1phaD3v/Oringo-Client
• https://github.com/AlphaPigeonDev/Polar-Client
• https://github.com/AlphaPigeonDev/Skyblock-Extras
• https://github.com/P1geonD3v/Funny-Map-Extras
• https://github.com/P1geonD3v/Taunahi-V3
• https://pastebin.com/raw/xCa3vSiP

SHA256

• 05b143fd7061bdd317bd42c373c5352bec351a44fa849ded58236013126d2963
• 4c8a6ad89c4218507e27ad6ef4ddadb6b507020c74691d02b986a252fb5dc612
• 4c944b07832d5c29e7b499d9dd17a3d71f0fd918ab68694d110cbb8523b8af49
• 51e423e8ab1eb49691d8500983f601989286f0552f444f342245197b74bc6fcf
• 5590eaa4f11a6ed4351bc983e47d9dfd91245b89f3108bfd8b7f86e40d00b9fa
• 5d80105913e42efe58f4c325ac9b7c89857cc67e1dcab9d99f865a28ef084b37
• 7aefd6442b09e37aa287400825f81b2ff896b9733328814fb7233978b104127f
• 886a694ee4be77242f501b20d37395e1a8a7a8f734f460cae269eb1309c5b196
• 97df45c790994bbe7ac1a2cf83d42791c9d832fa21b99c867f5b329e0cc63f64
• 9a678140ce41bdd8c02065908ee85935e8d01e2530069df42856a1d6c902bae1
• 9ca41431df9445535b96a45529fce9f9a8b7f26c08ac8989a57787462da3342f
• a1dc479898f0798e40f63b9c1a7ee4649357abdc757c53d4a81448a5eea9169f
• a427eeb8eed4585f2d51b62528b8b4920e72002ab62eb6fc19289ebc2fba5660
• c5936514e05e8b1327f0df393f4d311afd080e5467062151951e94bbd7519703
• f08086257c74b1de394bf150ad8aacc99ca5de57b4baa0974bc1b59bb973d355