Alerta: Ameaça no Minecraft – campanha de malware com mods falsos rouba palavras-passe e carteiras de criptomoedas

Alerta: Ameaça no Minecraft - campanha de malware com mods falsos rouba palavras-passe e carteiras de criptomoedas
Alerta: Ameaça no Minecraft - campanha de malware com mods falsos rouba palavras-passe e carteiras de criptomoedas

Uma sofisticada campanha de malware atinge a vasta comunidade de jogadores de Minecraft, com particular foco nos utilizadores mais ativos, alertam os investigadores da empresa especializada em soluções de cibersegurança, Check Point.

De acordo com os investigadores o ataque está a ser atribuído a um agente malicioso de origem russa, a rede Stargazers Ghost Network, que utilizam plataformas legítimas como o GitHub para distribuir o seu software malicioso, infetando os dispositivos das vítimas com malware de múltiplos estágios, usando como isto a instalação de mods para Minecraft.

O Minecraft, mais de 350 milhões de cópias vendidas e 204 milhões de jogadores ativos mensalmente em todo o mundo, sobretudo desde a estreia do filme baseado no jogo. O Minecraft é o videojogo mais vendido da história e, por isso, um alvo altamente apetecível para campanhas maliciosas. Cerca de 65% da sua base de utilizadores tem menos de 21 anos, tornando a comunidade mais vulnerável a ataques sofisticados, descreve a Check Point.

A investigação da Check Point Research revela que os cibercriminosos têm estado a usar repositórios falsos com nomes de mods populares como Oringo ou Taunahi (conhecidos por permitir cheats), aproveitando-se da procura por funcionalidades adicionais para propagar o malware de forma silenciosa. As amostras foram desenhadas para só ativarem em dispositivos com Minecraft instalado, o que demonstra a intenção deliberada de atingir utilizadores ativos do jogo.

Processo do ataque

Como descrevem os investigadores da Check Point os cibercriminosos criaram cerca de 500 repositórios de ficheiros no GitHub, que estão disfarçadas de ferramentas populares como Skyblock Extras, Polar Client, Oringo e Taunahi, muito utilizadas para automatizar passos e utilização de cheats.

O processo de ataque decorre nas seguintes fases:

  1. Após a instalação inicial do ficheiro JAR, o código malicioso verifica se está num ambiente virtual (sandbox).
  2. Se não for detetado nenhum sistema de análise, inicia-se a segunda fase: o roubo de informação, através da instalação de um infostealer baseado em Java.
  3. A fase final instala um stealer baseado em .NET (“44 CALIBER”), que extrai dados de navegadores, apps como Discord, Steam e Telegram, bem como carteiras de criptomoedas. As informações são enviadas via Discord, o que dificulta a deteção, ao camuflar o tráfego malicioso entre o uso legítimo da aplicação.

A Check Point Research estima-se que até 1500 dispositivos tenham sido comprometidos até à data, com impacto global.

Como desenvolver a proteção:

  • Evita instalar mods de fontes não verificadas;
  • Desconfia de ferramentas que prometem cheats ou automatismos;
  • Manter o sistema operativo e as ferramentas de segurança sempre atualizados;
  • Lembrar-se da velha máxima: “se parece bom demais para ser verdade, provavelmente é.”

Mas, além disso, a Check Point indica que as soluções Threat Emulation e Harmony Endpoint oferecem proteção total contra os métodos e ferramentas utilizados nesta campanha.