A Check Point Research identificou uma sofisticada campanha de malware que está a atingir a vasta comunidade de jogadores de Minecraft, com particular foco nos utilizadores mais ativos.

O ataque, que está a ser atribuído a um agente malicioso de origem russa, a rede Stargazers Ghost Network, estão a utilizar plataformas legítimas como o GitHub para distribuir o seu software malicioso, infetando assim os dispositivos das vítimas com malware de múltiplos estágios, usando como isto a instalação de mods para Minecraft.

Universo Minecraft

Com mais de 350 milhões de cópias vendidas e 204 milhões de jogadores ativos mensalmente em todo o mundo, sobretudo desde a estreia do filme baseado no jogo, o Minecraft é o videojogo mais vendido da história e, por isso, um alvo altamente apetecível para campanhas maliciosas. Cerca de 65% da sua base de utilizadores tem menos de 21 anos, tornando a comunidade mais vulnerável a ataques sofisticados.

A investigação da CPR revela que os cibercriminosos têm estado a usar repositórios falsos com nomes de mods populares como Oringo ou Taunahi (conhecidos por permitir cheats), aproveitando-se da procura por funcionalidades adicionais para propagar o malware de forma silenciosa. As amostras foram desenhadas para só ativarem em dispositivos com Minecraft instalado, o que demonstra a intenção deliberada de atingir utilizadores ativos do jogo.

Como funciona o ataque

Os cibercriminosos criaram cerca de 500 repositórios de ficheiros no GitHub, que estão disfarçadas de ferramentas populares como Skyblock Extras, Polar Client, Oringo e Taunahi, muito utilizadas para automatizar passos e utilização de cheats.

Todo o processo de ataque decorre nas seguintes fases:

1. Após a instalação inicial do ficheiro JAR, o código malicioso verifica se está num ambiente virtual (sandbox).
2. Se não for detetado nenhum sistema de análise, inicia-se a segunda fase: o roubo de informação, através da instalação de um infostealer baseado em Java.
3. A fase final instala um stealer baseado em .NET (“44 CALIBER”), que extrai dados de navegadores, apps como Discord, Steam e Telegram, bem como carteiras de criptomoedas. As informações são enviadas via Discord, o que dificulta a deteção, ao camuflar o tráfego malicioso entre o uso legítimo da aplicação.

Estima-se que até 1500 dispositivos tenham sido comprometidos até à data, com impacto global.

Como te podes proteger:

• Evita instalar mods de fontes não verificadas;
• Desconfia de ferramentas que prometem cheats ou automatismos;
• Manter o sistema operativo e as ferramentas de segurança sempre atualizados;
• Lembrar-te da velha máxima: “se parece bom demais para ser verdade, provavelmente é.”

A Check Point garante que as suas soluções Threat Emulation e Harmony Endpoint oferecem proteção total contra os métodos e ferramentas utilizados nesta campanha.