Minecraft остаётся одной из самых популярных игр в мире с миллионами активных пользователей, что привлекает не только игроков, но и злоумышленников, стремящихся использовать аудиторию игры в своих преступных целях. Недавние исследования аналитиков компании Check Point выявили масштабную кампанию по распространению вредоносных модов и читов, замаскированных под легитимные инструменты для Minecraft, которые загрузили более 1500 пользователей с платформы GitHub. Этот инцидент подчёркивает возрастающую опасность вредоносного ПО, маскирующегося под популярный игровой контент, и требует пристального внимания от сообщества и специалистов по кибербезопасности. Проблема распространения вредоносных читов в Minecraft обусловлена тем, что многие игроки стремятся получить преимущество в игре с помощью сторонних модификаций и читов, зачастую скачивая их из непроверенных источников. GitHub, будучи популярной площадкой для хранения и обмена исходным кодом, стал неожиданной мишенью для злоумышленников, которые создают многочисленные аккаунты и репозитории с вредоносными скриптами, маскируя их под популярные Minecraft-моды и клиенты, такие как Skyblock Extras, Polar Client, FunnyMap, Oringo и Taunahi.
Атака происходит следующим образом: при запуске в Minecraft вредоносный JAR-загрузчик использует закодированный в base64 URL, чтобы загрузить второй этап вредоносного ПО с Pastebin. Этот этап представляет собой Java-стилер — программное обеспечение, созданное для кражи учетных данных и токенов аутентификации из различных игр и приложений. Java-малварь нацелена на сбор данных из клиента Minecraft и популярных сторонних лаунчеров, включая Feather, Lunar и Essential. Помимо этого, она пытается похитить токены из мессенджеров Discord и Telegram, что значительно расширяет украденный спектр данных. Далее заражённое устройство подвергается атаке более мощным стилером под названием 44 CALIBER, работающим на базе .
NET. Этот стилер отличается тем, что способен похищать конфиденциальную информацию из браузеров (Chromium, Edge, Firefox), базы данных VPN-сервисов ProtonVPN, OpenVPN, NordVPN, а также данным из криптовалютных кошельков популярных платформ, таких как Armory, AtomicWallet, BitcoinCore и других. 44 CALIBER также собирает данные из Steam, Discord, Telegram, файловой системы и может делать скриншоты экрана. Таким образом, вредоносное ПО охватывает множество аспектов цифровой жизни пользователя. Обнаружение такой кампании свидетельствует о том, что традиционные антивирусные программы пока слабо справляются с выявлением и блокировкой этих вредоносных модов.
Помимо того, злоумышленники активно используют тактику маскировки своей активности через создание большого количества фальшивых репозиториев и аккаунтов с поддельными звёздами, пытаясь повысить доверие к своим проектам среди пользователей GitHub. По данным исследователей, было выявлено около 500 репозиториев и примерно 70 аккаунтов, которые оставили свыше 700 фальшивых звёзд. Особое внимание привлекает связь данной кампании с так называемой Stargazers Ghost Network и группировкой Stargazer Goblin, уже известными экспертам по кибербезопасности своими сложными схемами распространения малвари. В 2024 году через эту сеть было заражено более 17000 систем по всему миру всего за три месяца, что подчёркивает эффективность и масштабность подобных операций. Вредоносное ПО передаёт украденные данные по веб-хукам Discord с комментариями на русском языке и временными метками в часовом поясе UTC+3, что позволяет специалистам предположить, что за кампанией стоят русскоязычные операторы.
Эти данные создают дополнительные возможности для расследований и принятия мер со стороны правоохранительных органов. Для игроков Minecraft и всех пользователей компьютерных игр крайне важно проявлять осторожность при скачивании сторонних модов и читов. Следует использовать только проверенные источники и официальные магазины, избегать загрузки файлов с непонятных репозиториев и сайтов. Регулярное обновление антивирусного программного обеспечения и использование комплексных решений для защиты могут помочь снизить риски заражения. Кроме того, полезно применять двухфакторную аутентификацию (2FA) для игровых аккаунтов и связанных сервисов, а также регулярно менять пароли и не использовать одинаковые данные для различных ресурсов.
В случае если игрок заметил подозрительную активность или потерю доступа к своим аккаунтам, необходимо незамедлительно обратиться в службу поддержки игры и принять меры по восстановлению безопасности. Вредоносные малвари в мире видеоигр становятся серьёзной проблемой для индустрии в целом, поскольку они подрывают доверие игроков и наносят экономический ущерб. Компании-разработчики, антивирусные фирмы и сообщества пользователей должны объединить усилия в борьбе с такими угрозами, своевременно информируя о новых методах защиты и выявления вредоносных программ. Обнаружение более чем 1500 заражённых пользователей Minecraft через GitHub подчёркивает важность бдительности и информированности пользователей. В будущем риски подобного рода атак будут только расти в связи с развитием технологий и методов социальной инженерии, поэтому каждый игрок должен осознавать угрозы и соблюдать рекомендации по безопасности.
Таким образом, эта масштабная кампания по распространению вредоносных читов не только показывает новые грани сложных киберугроз в сфере онлайн-игр, но и служит серьёзным предупреждением для всех участников игрового сообщества. Только совместные усилия экспертов, разработчиков и пользователей помогут обезопасить любимую игру от злоумышленников, сохранить персональные данные и обеспечить комфортную игровую среду.
