Hakerzy wykorzystali popularne platformy do modowania gry Minecraft, Bukkit i CurseForge, do dystrybucji nowego złośliwego oprogramowania „Fractureiser” do kradzieży informacji poprzez przesłane modyfikacje i wstrzyknięcie złośliwego kodu do istniejących projektów.

Według wielu doniesień atak rozpoczął się, gdy kilka kont CurseForge i Bukkit zostało przejętych i wykorzystanych do wstrzyknięcia złośliwego kodu do wtyczek i modów, które następnie zostały zaadaptowane przez popularne pakiety modów, takie jak „Better Minecraft”, który ma ponad 4,6 miliona pobrań.

Warto zauważyć, że wiele pakietów modów, których dotyczy problem, zostało narażonych na szwank, mimo że rzekomo były chronione przez uwierzytelnianie dwuskładnikowe. Jednocześnie aktualizacje zostały natychmiast zarchiwizowane, aby nie pojawiały się publicznie, ale mimo to zostały przekazane użytkownikom za pośrednictwem interfejsu API.

Potwierdzono, że wpływ złośliwego oprogramowania Fractureiser miało wpływ na następujące modyfikacje i paczki modów:

Kuźnia Klątwy:

• Powstają lochy
• Niebiańskie wioski
• Lepsza seria paczek modów MC
• Fantastycznie zoptymalizowany (nie został naruszony)
• Dungeonz
• Rdzeń Skyblocka
• Integracje Vault
• Transmisja automatyczna
• Zaawansowany kustosz muzeum
• Poprawka błędu integracji Vault
• Create Infernal Expansion Plus – mod usunięty z CurseForge

Bukkit:

• Edytor elementów wyświetlania
• Przystań Elytra
• Edytor jednostek niestandardowych zdarzeń Nexusa
• Proste zbiory
• MCBounties
• Łatwe niestandardowe potrawy
• Obsługa Bungeecord Anti Command Spam
• Ostateczne poziomowanie
• Awaria anty Redstone
• Uwodnienie
• Wtyczka zezwalająca na fragmenty
• Brak VPN
• Najlepsze animacje tytułów Gradient RGB
• Pływające obrażenia

Zagrożeni gracze to ci, którzy pobrali modyfikacje lub wtyczki z CurseForge i dev.bukkit.org w ciągu ostatnich trzech tygodni, ale zakres infekcji nie został jeszcze w pełni doceniony.

Pobranie i uruchomienie zainfekowanego moda uruchamia łańcuch naruszeń wszystkich modów na zainfekowanym komputerze.

Studio Luna Pixel poinformowany na Discordzie że jeden z jego programistów wypróbował zainfekowany mod, co spowodowało naruszenie łańcucha dostaw, które wpłynęło również na jego pakiety modów.

Gracze Minecrafta powinni unikać korzystania z programu uruchamiającego CurseForge lub pobierania czegokolwiek z repozytoriów wtyczek CurseForge lub Bukkit, dopóki sytuacja się nie wyjaśni.

Szczegóły złośliwego oprogramowania Fractureiser

Raport techniczny Hackmd i analiza BleepingComputer rzucają więcej światła na szkodliwe oprogramowanie Fractureiser, wyjaśniając, że atak został przeprowadzony w czterech etapach, a mianowicie w etapach 0, 1, 2 i 3.

„Etap 0” to początkowy wektor ataku, kiedy przesyłane są nowe modyfikacje lub gdy legalne modyfikacje są przejmowane w celu dołączenia nowej złośliwej funkcji na końcu głównej klasy projektu.

Po wykonaniu funkcji zostanie nawiązane połączenie z adresem URL http://85.217.144[.]130:8080/dl i pobierz plik o nazwie dl.jar, który jest następnie wykonywany jako nowa klasa Utility.

Hackmd mówi, że klasa będzie miała argumenty łańcuchowe specyficzne dla każdego skompromitowanego moda.

Po uruchomieniu pliku dl.jar złośliwe oprogramowanie łączy się i pobiera adres IP serwera dowodzenia i kontroli atakującego.

Hackmd mówi, że złośliwe oprogramowanie połączy się również z tym adresem IP na porcie 8083, aby pobrać plik i zapisać go jako „%LOCALAPPDATA%\Microsoft Edge\libWebGL64.jar” (Windows) lub „~/.config/.data/lib.jar” ” (Linuks).

Złośliwe oprogramowanie skonfiguruje następnie plik JAR do automatycznego uruchamiania w systemie Windows, konfigurując wpis autostartu w kluczu rejestru „Uruchom”. W systemie Linux utworzy nową usługę w /etc/systemd o nazwie „systemd-utility.service”.

Llib.jar lub libWebGL64.jar to zaciemniony program ładujący dla systemów Windows i Linux, który prawdopodobnie pobiera dodatkowy ładunek o nazwie „client.jar” [VirusTotal].

Plik wykonywalny client.jar to „Stage 3” i jest wysoce zaciemnioną mieszanką kodu Java i natywnego systemu Windows w postaci kradnącego informacje złośliwego oprogramowania o nazwie hook.dll.

Naukowcy twierdzą, że złośliwe oprogramowanie Fractureiser, które kradnie informacje, jest w stanie:

• samorozprzestrzenianie się do wszystkich plików .jar w systemie plików poprzez wstrzyknięcie do nich „Stage 0”,
• kradzież ciasteczek i danych logowania do kont przechowywanych w przeglądarkach internetowych,
• zastąpienie adresów portfeli kryptowalut skopiowanych do schowka systemowego,
• kradzież danych logowania do konta Microsoft,
• kradzież danych logowania do konta Discord,
• kradzież danych logowania do konta Minecraft z różnych programów uruchamiających.

Złośliwe oprogramowanie tworzy również skrót do systemu Windows, który powoduje wykonanie skryptu pod adresem http://85.217.144[.130/script]podczas uruchamiania systemu Windows.[130/scripttobeexecutedwhenWindowsstarts

Ten skrypt sprawdzi, czy Java jest zainstalowana, a jeśli nie, pobierze ją z azul.com. Następnie skrypt ponownie pobierze plik dl.jar do katalogu %temp%\installer.jar i wykona go, co prawdopodobnie spowoduje wdrożenie nowych aktualizacji złośliwego oprogramowania w miarę ich publikowania.

Co powinni zrobić gracze Minecrafta?

Graczom korzystającym z modów w Minecraft zawsze zaleca się zachowanie szczególnej ostrożności podczas pobierania modów, ale jeszcze bardziej teraz, gdy ta kampania Fractureiser jest aktywna

Ci, którzy obawiają się, że Fractureiser mógł ich zainfekować, mogą użyć skryptów skanera (pobierz dla Windows, pobierz dla Linuksa) dostarczonych przez społeczność, aby sprawdzić oznaki infekcji w ich systemie.

Ręczne testy wskazujące na infekcję obejmują obecność następujących plików lub kluczy rejestru systemu Windows:

• Nietypowe wpisy w kluczu rejestru „HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run”. Użytkownicy systemu Windows mogą użyć Edytora rejestru do przeglądania tych wpisów lub karty Uruchamianie w Menedżerze zadań.
• Skrót w %AppData%\Microsoft\Windows\Start Menu\Programs\Startup”, jak opisano poniżej.
• Plik ~/.config/.data/lib.jar w systemie Linux.
• Pliki %LOCALAPPDATA%\Microsoft Edge\libWebGL64.jar lub ~\AppData\Local\Microsoft Edge\libWebGL64.jar (w systemie Windows).
• Niezwykłe usługi Systemd w /etc/systemd/system. Prawdopodobnie nosi nazwę „systemd-utility.service”.
• Plik w %Temp%\installer.jar.

Nadal pozostaje wiele niewiadomych na temat szkodliwego oprogramowania Fractureiser, więc w przyszłości mogą zostać dodane nowe wskaźniki włamania.

W miarę upływu dnia coraz więcej silników antywirusowych zacznie wykrywać złośliwe pliki wykonywalne Java. Jeśli więc przeskanujesz komputer i nic nie znajdziesz, zdecydowanie zalecamy wykonanie skanów później w ciągu dnia.

Ponadto, jeśli jesteś zainfekowany, powinieneś wyczyścić komputer, najlepiej przeinstalowując system operacyjny, a następnie zmienić hasła na unikalne dla wszystkich swoich kont. Zmieniając hasła, skup się na wrażliwych kontach, takich jak konta kryptograficzne, poczta e-mail, konta bankowe i inne, które są podatne na oszustwa.