Изследователи от Check Point Research разкриха мащабна зловредна кампания, която използва фалшиви модове и „cheat“ програми за Minecraft, за да инфектира Windows устройства с инфостийлъри – зловреден софтуер, предназначен да краде идентификационни данни, автентикационни токени, Discord и Telegram акаунти и криптовалути.

Дистрибуция чрез GitHub и Pastebin

Кампанията е дело на групата Stargazers Ghost Network, която от 2023 г. насам използва модифицирани GitHub акаунти и услуги като Pastebin за разпространение на зловреден код, прикрит като модификации за Minecraft. Те използват „distribution-as-a-service“ (DaaS) модел, който позволява масово заразяване на жертвите.

Според Check Point, връзките в Pastebin, използвани за зареждане на вторични payload-и, са получили хиляди посещения, което потвърждава широкия мащаб на кампанията.

Как работи атаката?

1. Първичен етап – зловреден мод (JAR файл)
   Играч изтегля мод от GitHub, маскиран като популярен Minecraft инструмент като Skyblock Extras, Polar Client, Oringo, FunnyMap или Taunahi.
   След стартиране, JAR loader сваля нов зловреден файл чрез Pastebin линк (base64 кодиран).

2. Втори етап – Java инфостийлър
   Той краде:

   • Minecraft токени от официалния и трети launcheri (Feather, Lunar, Essential)

   • Discord и Telegram токени

   • Изпраща данните към сървъра на атакуващия чрез HTTP POST заявки.

3. Трети етап – .NET базиран стийлър ’44 CALIBER’
   Традиционен инфостийлър, който събира:

   • Пароли и данни от браузъри (Chrome, Edge, Firefox)

   • Данни от VPN (ProtonVPN, NordVPN, OpenVPN)

   • Криптопортфейли (Bitcoin Core, Electrum, Exodus, Ethereum и др.)

   • Приложения като Discord, Telegram, Steam, FileZilla

   • Clipboard и файлове от Desktop/Documents

   • Снимки на екрана

Цялата верига на инфектиране е изключително прикрита и трудно засичана от антивирусни програми.

Мащаб на операцията

• Над 500 GitHub хранилища участват в разпространението.

• Използвани са фалшиви „stars“ и fork-ове чрез около 70 фалшиви акаунта.

• Предишна кампания на същата група е заразила над 17 000 системи със зловреден софтуер, базиран на Godot game engine.

Произход и атрибуция

Check Point съобщава, че в кода има коментари на руски език, а времевите печати на GitHub комитите показват активност по UTC+3 – характерна за руски часови пояс. Това насочва към руски произход на операцията.

Как да се предпазите?

• Никога не изтегляйте модове от произволни GitHub хранилища или непознати източници.

• Проверявайте:

  • Дата и история на комитите

  • Брой звезди и fork-ове (внимавайте за аномалии)

  • Дейност на участниците в репозиторито

• Използвайте „burner“ акаунти за тестови модове – не се логвайте с основния Minecraft акаунт.

• Ползвайте актуални антивирусни решения и анти-malware инструменти.

• Използвайте sandbox среда или виртуална машина, ако тествате съмнителен мод.

Платформата Minecraft се превръща във все по-привлекателна цел за киберпрестъпници, благодарение на богатата си модинг екосистема и голямата потребителска база. Кампанията на Stargazers Ghost Network демонстрира колко лесно зловреден код може да бъде маскиран като игрален мод, за да се извлече чувствителна информация от нищо неподозиращи потребители.

Играчите, родителите и администраторите трябва да бъдат особено бдителни при изтегляне и използване на неофициални модификации.