Een nieuwe multi-fase malware-campagne is gericht op Minecraft-gebruikers met een op Java gebaseerde malware die een distributie-as-service (DAAS) aanbiedt, genaamd Stargazers Ghost Network.
“De campagnes resulteerden in een multi-fasen aanvalsketen die specifiek gericht was op Minecraft-gebruikers,” zeiden Check Point-onderzoekers Jaromír Hořejší en Antonis Terefos in een rapport dat werd gedeeld met The Hacker News.
“De malware was voorgelegd aan Oringo en Taunahi, dit zijn ‘scripts en macros -tools’ (aka cheats). Zowel de eerste als de tweede fasen worden ontwikkeld in Java en kunnen alleen worden uitgevoerd als de Minecraft -runtime op de hostmachine wordt geïnstalleerd.”
Het einddoel van de aanval is om spelers te misleiden om een Minecraft -mod van Github te downloaden en een .NET Information Stealer te leveren met uitgebreide gegevensdiefstalmogelijkheden. De campagne werd voor het eerst gedetecteerd door de Cybersecurity Company in maart 2025.
Wat de activiteit opmerkelijk maakt, is het gebruik van een illegaal aanbod genaamd het Stargazers Ghost Network, dat gebruik maakt van duizenden GitHub -accounts om besmette repositories op te zetten die zich voordoen als gebarsten software en game cheats.
Terefos vertelde The Hacker News dat ze “ongeveer 500 GitHub -repositories markeerden, inclusief die die zijn gevorkt of gekopieerd,” toevoegend “we hebben ook 700 sterren gezien die door ongeveer 70 accounts worden geproduceerd.”
Deze kwaadaardige repositories, die zich vermomt als Minecraft-mods, dienen als een kanaal voor het infecteren van gebruikers van het populaire videogame met een Java-lader (bijv. “Oringo-1.8.9.jar”) die door alle antivirusmotoren op schrijfmotoren blijft.
De Java Archive (JAR) -bestanden implementeren eenvoudige anti-VM- en anti-analysetechnieken om detectie-inspanningen te omzeilen. Hun hoofddoel is om een ander JAR-bestand te downloaden en uit te voeren, een tweede-fase Stealer die een .NET Stealer ophalen en uitvoert als de laatste lading wanneer de game wordt gestart door het slachtoffer.
De component op de tweede fase wordt opgehaald uit een IP-adres (“147.45.79.104”) dat is opgeslagen in base64-gecodeerde indeling PasteBin, in wezen het plakgereedschap omgezet in een dode druppelresolver.
“Om mods aan een Minecraft -spel toe te voegen, moet de gebruiker het kwaadaardige JAR -archief in de map Minecraft mods kopiëren. Na het starten van het spel laadt het Minecraft -proces alle mods uit de map, inclusief de kwaadaardige mod, die de tweede fase zal downloaden en uitvoeren,” zeiden de onderzoekers.
Naast het downloaden van de .NET Stealer, is de tweede fase Stealer uitgerust om Discord en Minecraft-tokens te stelen, evenals telegram-gerelateerde gegevens. De .NET Stealer daarentegen is in staat om referenties van verschillende webbrowsers te oogsten en bestanden te verzamelen, en informatie van cryptocurrency -portefeuilles en andere apps zoals Steam en Filezilla.
Het kan ook screenshots maken en informatie verzamelen met betrekking tot uitvoerende processen, het externe IP -adres van het systeem en de inhoud van het klembord. De vastgelegde informatie wordt uiteindelijk gebundeld en teruggestuurd naar de aanvaller via een Discord -webhook.
De campagne wordt vermoedelijk het werk van een Russisch sprekende dreigingsacteur vanwege de aanwezigheid van verschillende artefacten geschreven in de Russische taal en de tijdzone van de commits van de aanvaller (UTC+03: 00). Naar schatting zijn er meer dan 1500 apparaten ten prooi gevallen aan de regeling.
“Deze case benadrukt hoe populaire gaminggemeenschappen kunnen worden benut als effectieve vectoren voor malwareverdeling, en benadrukt het belang van voorzichtigheid bij het downloaden van inhoud van derden,” zeiden de onderzoekers.
“Het Ghost Network van Stargazers heeft deze malware actief gedistribueerd en richtte zich op Minecraft-spelers die op zoek waren naar mods om hun gameplay te verbeteren. Wat onschadelijke downloads leek te zijn, waren in feite op Java gebaseerde laders die twee extra stealers hebben geïmplementeerd, in staat om inloggegevens en andere gevoelige gegevens te exfiltreren.”
Nieuwe varianten van Kimjongrat Stealer gedetecteerd
De ontwikkeling komt als Palo Alto Networks Unit 42 gedetailleerde twee nieuwe varianten van een informatie -stealer codenaam Kimjongrat die waarschijnlijk verbonden is met dezelfde Noord -Koreaanse dreigingsacteur achter Babyshark en gestolen potlood. Kimjongrat is al in mei 2013 in het wild gedetecteerd, geleverd als een secundaire lading bij Babyshark -aanvallen.
“Een van de nieuwe varianten maakt gebruik van een draagbaar uitvoerbaar bestand (PE) en de andere maakt gebruik van een PowerShell -implementatie”, zei beveiligingsonderzoeker Dominik Reichel. “De PE- en PowerShell-varianten worden beide geïnitieerd door op een Windows Shortcut (LNK) -bestand te klikken dat een dropper-bestand downloadt van een aanvaller-gecontroleerd Content Delivery Network (CDN) -account.”
Terwijl de druppel van de PE -variant een lader, een decoy -PDF en een tekstbestand implementeert, implementeert de druppel in de PowerShell -variant een Decoy PDF -bestand samen met een ZIP -archief. De lader downloadt op zijn beurt hulppayloads, inclusief de Stealer -component voor Kimjongrat.
Het zip-archief geleverd door de druppelaar van de PowerShell-variant bevat scripts die de op Kimjongrat PowerShell gebaseerde Stealer- en keylogger-componenten insluiten.
Beide nieuwe incarnaties zijn in staat om slachtofferinformatie, bestanden die overeenkomen met specifieke extensies en browsergegevens te verzamelen en over te dragen, zoals referenties en details uit extensies van cryptocurrency -portemonnee. De PE -variant van Kimjongrat is ook ontworpen om FTP en e -mailclientinformatie te oogsten.
“De voortdurende ontwikkeling en implementatie van Kimjongrat, met veranderende technieken zoals het gebruik van een legitieme CDN -server om de distributie ervan te verbergen, toont een duidelijke en voortdurende dreiging,” zei Unit 42. “Dit aanpassingsvermogen toont niet alleen de aanhoudende dreiging van dergelijke malware, maar onderstreept ook de toewijding van zijn ontwikkelaars om zijn mogelijkheden bij te werken en uit te breiden.”
