Jocul popular Minecraft, cu milioane de utilizatori activi, este vizat de o vastă campanie de malware. Rețeaua Stargazers Ghost Network abuzează de mecanismul de extensii al jocului, utilizezând module și comenzi false pentru a răspândi un malware complex.
Cercetări recente arată că infractorii folosesc platforme online legitime precum GitHub și Pastebin pentru a contacta jucătorii. Codul malware este camuflat în peste 500 de depozite care imită extensii populare, cum ar fi Skyblock Extras, Oringo și Taunahi.
Amploarea campaniei este evidentă prin numărul mare de vizualizări ale linkurilor Pastebin, semnificând o potențială infectare a unui număr semnificativ de utilizatori. 
Cum sunt vizați utilizatorii Minecraft?
Atacul începe cu un fișier JAR care se face a fi o extensie pentru joc. Aparent, acesta este un mod pentru îmbunătățirea experienței de joc, dar ascunde cod periculos. După descărcare și instalare, un încărcător Java descarcă a doua etapă a infecției din Pastebin. Apoi, un program malțios cauta date sensibile din contul de Minecraft, inclusiv date din aplicații de lansare terțe precum Lunar, Feather sau Essential.
Malware-ul Java este proiectat să nu fie detectat de programele antivirus. Tehnicile anti-analiză împiedică execuția în medii virtuale sau în prezența programelor de monitorizare precum Wireshark sau platformelor de virtualizare precum VMware.
Acest malware nu se limiteaza la Minecraft. Odată intrat in sistem, încearcă să fure parole din platforme precum Discord și Telegram, și descarcă o componentă suplimentară, un program malțios .NET numit „44 CALIBER”.
Această componentă extrage informații din browserele utilizate (Chromium, Firefox, Edge), fișiere din dosare precum Desktop sau Documente, date din aplicații VPN (ProtonVPN, NordVPN, OpenVPN), portofele cripto (Electrum, Exodus, BitcoinCore, Monero, etc.), conturi Steam și Discord. De asemenea, poate face capturi de ecran și copia informații de pe clipboard.
Datele furate sunt trimise pe serverele atacatorilor prin webhook-uri Discord. Cercetările au evidențiat comentarii în limba rusă și semnături UTC+3 în codul sursă, sugerând o origine probabilă rusească.
Cum te poți proteja?
Pentru a evita infectarea, descarcă extensii doar de pe surse verificate. Verifică cu atenție depozitele GitHub, luând în considerare numărul de stele, activitatea dezvoltatorilor și comentariile recente. Evită sursele necunoscute. Pentru a testa extensiile, utilizează un cont secundar.
Această campanie demonstrează că lumea jocurilor video poate fi vulnerabilă la atacuri cibernetice. Este esențială prudența în toate mediile online.
