Minecraft, unul dintre cele mai populare jocuri din lume, cu peste 200 de milioane de jucători activi lunar, este ținta unei campanii malware de amploare. Gruparea Stargazers Ghost Network exploatează ecosistemul vast de modding al jocului, folosind moduri și cheat-uri false pentru a distribui un malware sofisticat. Scopul? Sustragerea de parole, tokenuri de autentificare și chiar portofele de criptomonede.
Potrivit unei investigații realizate de Check Point Research, atacatorii se folosesc de platforme legitime precum GitHub și Pastebin pentru a ajunge la jucători, mascând codul malițios în peste 500 de repozitorii care imită moduri populare de Minecraft, precum Skyblock Extras, Oringo sau Taunahi.
Amploarea campaniei este evidențiată de faptul că linkurile Pastebin (servicii online pentru partajarea de text) folosite de atacatori au înregistrat mii de vizualizări, sugerând că un număr substanțial de jucători ar fi putut fi infectați.
Cum sunt atacați jucătorii de Minecraft
Atacul pornește de la un fișier JAR care se prezintă ca un mod obișnuit pentru Minecraft, o extensie creată aparent pentru a îmbunătăți jocul, dar care, în realitate, ascunde cod periculos. După ce este descărcat și instalat de jucător, acesta rulează un loader scris în Java care descarcă a doua etapă a infecției din Pastebin. Aici intră în acțiune un infostealer care caută date sensibile din contul de Minecraft, inclusiv din launchere terțe precum Lunar, Feather sau Essential.
Malware-ul Java este special conceput pentru a nu fi detectat de soluțiile antivirus, folosind tehnici anti-VM și anti-analiză care opresc execuția dacă rulează într-un mediu virtual sau dacă sunt detectate programe de monitorizare precum Wireshark ori platforme de virtualizare precum VMware.
Acest malware nu se limitează la Minecraft. Odată infiltrat în sistem, încearcă să fure tokenuri de autentificare din Discord și Telegram, și continuă să descarce o a treia componentă, un stealer .NET supranumit „44 CALIBER”.
Această componentă colectează informații din browsere (Chromium, Firefox, Edge), fișiere din Desktop și Documente, date din aplicații de VPN (ProtonVPN, NordVPN, OpenVPN), portofele cripto (Electrum, Exodus, BitcoinCore, Monero, etc.), conturi Steam și Discord. În plus, poate face capturi de ecran și copia conținutul clipboardului.
Datele furate sunt trimise către serverele atacatorilor prin webhook-uri Discord, iar cercetătorii au descoperit comentarii scrise în rusă și semnături UTC+3 în codul sursă, ceea ce sugerează o posibilă origine rusească.
Cum te poți proteja
Pentru a evita infectarea, jucătorii de Minecraft sunt sfătuiți să descarce moduri doar de pe platforme verificate, să verifice atent repozitoriile de GitHub (numărul de stele, activitatea dezvoltatorilor, comentarii recente) și să evite sursele necunoscute. De asemenea, pentru testarea de moduri, e recomandat să se folosească un cont secundar, nu contul principal de Minecraft.
Campania Stargazers e o dovadă clară că și lumea jocurilor poate deveni un teren fertil pentru atacuri cibernetice, iar vigilența e esențială, chiar și în Minecraft.
