Мод к Minecraft оказался трояном, который крадёт токены и криптокошельки у игроков по всему миру

Мод к Minecraft оказался трояном, который крадёт токены и криптокошельки у игроков по всему миру

Изображение: Mika Baumeister (unsplash)

Исследователи из компании Check Point обнаружили новую вредоносную схему, направленную на игроков Minecraft, в рамках которой хакеры маскируют инфостилеры под модификации для популярной игры. Распространение шло через репозитории на GitHub, где пользователям предлагались якобы полезные скрипты под названиями Oringo и Taunahi. Подлинная цель этих файлов — получить доступ к персональным данным пользователей, в том числе логинам, токенам и содержимому криптокошельков.

Механизм заражения был выстроен по многоступенчатому сценарию. Пользователь вручную добавлял файл JAR в директорию с модами Minecraft, после чего во время запуска игры происходила загрузка следующего вредоносного элемента. Второй файл — тоже JAR — служил каналом для передачи на устройство .NET-программы, выполняющей сбор информации. Адрес управляющего сервера маскировался через зашифрованный код, размещённый на Pastebin.

Финальный компонент программы обладал широким набором функций. Он собирал Discord-токены, учётные данные Minecraft, Telegram, данные браузеров, содержимое криптокошельков, а также копировал файлы с устройства, делал скриншоты и снимал список запущенных процессов. Вся информация отправлялась на удалённый сервер через Discord Webhook, не вызывая подозрений у пользователя. Анализ вредоносного кода указывает на возможное российское происхождение — в артефактах зафиксированы строки на русском языке и временные метки в часовом поясе UTC+03:00.

По предварительным подсчётам, вредоносная активность затронула более 1 500 устройств. Кампания велась с использованием нелегального сервиса Stargazers Ghost Network, предназначенного для размещения заражённых репозиториев на GitHub под видом модов и взломанного ПО.

Параллельно в отчёте аналитиков Unit 42 (Palo Alto Networks) упоминается новая активность, связанная с инструментом KimJongRAT. Выявлены два варианта: исполняемый PE-файл и скрипт PowerShell, оба активируются после запуска LNK-файла. Вредонос скачивает модули, позволяющие перехватывать нажатия клавиш и данные с устройства. Предположительно, за этой операцией стоит группировка из КНДР, ранее замешанная в кампаниях BabyShark и Stolen Pencil.

Артем
Автор: Артем
Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Комментарии: