Campagna di criminalità informatica che ruba i dati dei giocatori di Minecraft
Può appropriarsi di file di configurazione di launcher, token e credenziali di Discord e Telegram, password memorizzate nei browser, portafogli di criptovalute, informazioni su VPN, screenshot, processi attivi e il contenuto degli appunti.
Uno degli ultimi pericoli identificati nel campo della sicurezza è una campagna di furto di dati che si rivolge alla community di giocatori di Minecraft, composta da oltre 200 milioni di utenti attivi al mese.
Check Point Research, divisione di intelligence sulle minacce di Check Point Software Technologies, avverte su questa campagna, che definisce “sofisticata” e che sarebbe stata sviluppata da un attore di lingua russa.
La minaccia si distribuisce attraverso la piattaforma di distribuzione as-a-service Stargazers Ghost Network, che opera su GitHub.
Per raggiungere il suo scopo, utilizza un loader e uno stealer basati su Java, il che aiuta il malware a eludere le soluzioni tradizionali. Include tecniche anti-analisi e anti-virtualizzazione.
Check Point Research spiega che si tratta di un malware in più fasi che si spaccia per strumenti di modifica del gioco come Oringo e Taunahi e che usa Pastebin per recuperare gli URL di download.
La catena di infezione inizia quando una persona con Minecraft installato sul proprio dispositivo scarica una mod da un repository controllato dai cybercriminali.
A tal proposito, sono stati scoperti nomi come FunnyMap-0.7.5.jar, Oringo-1.8.9.jar, Polar-1.8.9.jar, SkyblockExtras-1.8.9.jar e Taunahi-V3.jar.
La mod scarica lo stealer all’avvio del gioco e lo stealer fa lo stesso con un componente in .NET, con l’obiettivo di rubare informazioni.
In particolare, può rubare file di configurazione di launcher di Minecraft, come Feather, Lunar ed Essential; token e credenziali di Discord, Telegram e altre piattaforme; portafogli di criptovalute; password salvate nei browser come Chrome, Edge e Firefox; informazioni su reti private virtuali; e processi attivi nel sistema, screenshot e il contenuto degli appunti.
Questi dati vengono compressi ed esfiltrati su un server remoto tramite Discord, secondo quanto dettagliato dagli esperti.
“Consigliamo alla comunità dei giocatori e alle aziende di prendere estreme precauzioni”, sottolinea Eusebio Nieva, direttore tecnico di Check Point Software per Spagna e Portogallo.
Come? “Scaricando mod solo da fonti ufficiali e verificate, diffidando di quelle che richiedono permessi eccessivi, mantenendo aggiornate le proprie soluzioni di sicurezza e implementando politiche di controllo delle applicazioni sui propri dispositivi e ambienti aziendali”, risponde Nieva.
