Киберпреступники нацелились на игроков Minecraft, распространяя вредоносные моды и читы, которые заражают Windows-устройства инфостилерами. Эти программы крадут учетные данные, токены аутентификации, криптокошельки и другую чувствительную информацию.
Кампанию выявили специалисты из Check Point Research. За ней стоит группа Stargazers Ghost Network, использующая популярные моддинг-платформы и легальные ресурсы, включая GitHub и Pastebin, для массового распространения вредоносного кода. Группа действует по модели «вредонос как услуга» (DaaS) с 2024 года.
Злоумышленники замаскировали вредонос под популярные Minecraft-моды: Skyblock Extras, Polar Client, FunnyMap, Oringo, Taunahi и другие. Всего было выявлено около 500 репозиториев (включая форки), созданных и продвигаемых через фальшивую активность на GitHub.
После установки модов вредоносный загрузчик (файл JAR) извлекает Java-стилер, скачивая его через зашифрованный URL из Pastebin. Стилер крадёт:
- токены аккаунтов Minecraft, Discord, Telegram;
- данные из лаунчеров (официальных и сторонних);
- отправляет всё на сервер злоумышленников.
Затем загружается вторая стадия — стилер на базе .NET под названием 44 CALIBER, который собирает данные из браузеров (Chrome, Edge, Firefox), файлов на ПК, криптокошельков (BitcoinCore, Electrum, Monero и др.), аккаунтов VPN, Steam, Telegram и других приложений. Также фиксируются скриншоты и содержимое буфера обмена.
Передача данных осуществляется через Discord Webhooks с русскими комментариями, что, наряду с временными метками UTC+3, указывает на русскоязычное происхождение кампании.
Check Point опубликовала индикаторы компрометации (IoC) и рекомендует загружать моды только с проверенных источников, использовать отдельные аккаунты для тестов и внимательно проверять GitHub-репозитории перед установкой.
С помощью вредоносных Android-приложений для Minecraft хакеры создают ботнет
