Nep Minecraft-installatieprogramma verspreidt NjRat-spyware om gegevens te stelen

Nep-Minecraft-kloon Eaglercraft 1.12 Offline verspreidt NjRat-spyware die wachtwoorden steelt en spioneert via webcam en microfoon, waarschuwt het beveiligingsteam van Point Wild.

Het Lat61 Threat Intelligence Team van Point Wild heeft een nieuwe cyberdreiging ontdekt die zich richt op fans van de populaire game Minecraft . Malware vermomd als een Minecraft-installatieprogramma infecteert computers, waardoor hackers persoonlijke gegevens kunnen stelen.

Dit onderzoek, dat Point Wild aan Hackread.com heeft verstrekt, zou geen verrassing moeten zijn,aangezien Minecraft in 2021 al werd uitgeroepen tot het meest door malware geïnfecteerde spel ooit.

Wat de aanhoudende dreiging betreft: de malware zit verborgen in een onofficiële, browsergebaseerde Minecraft-kloon genaamd Eaglecraft 1.12 Offline, die vaak wordt gebruikt op scholen en in andere besloten omgevingen. Nu miljoenen gamers, waaronder kinderen en casual gamers, Minecraft-gerelateerde content downloaden tijdens een recente golf van opwinding, brengen ze onbewust hun computers in gevaar.

Uit het onderzoek blijkt dat het neppe game-installatieprogramma een gevaarlijk type Remote Access Trojan (RAT) met de naam NjRat bevat. Cybercriminelen gebruiken dit type al jaren om geïnfecteerde apparaten volledig onder controle te krijgen.

Deze malware kan verschillende schadelijke activiteiten uitvoeren zonder medeweten van de gebruiker. Het gebruikt een keylogger om elke toetsaanslag vast te leggen, waardoor gebruikersnamen, wachtwoorden en andere gevoelige informatie kunnen worden gestolen. Het kan gebruikers ook bespioneren door ongeautoriseerde toegang te krijgen tot de webcam en microfoon van een computer, waardoor aanvallers heimelijk kunnen meekijken en luisteren.

Bovendien creëert het een achterdeurtje door een verborgen programma genaamd WindowsServices.exe toe te voegen aan de opstartbestanden van de computer, waardoor het elke keer wordt uitgevoerd wanneer het systeem wordt opgestart. Om zichzelf te beschermen, is de malware geprogrammeerd om het systeem te laten crashen met een Blue Screen of Death als het beveiligingstools zoals Wireshark detecteert, waardoor het voor experts moeilijker wordt om te analyseren.

Terwijl de game oppervlakkig als afleiding diende, werd er stilletjes een verborgen proces met de naam WindowsServices.exe op de achtergrond uitgevoerd. Dit proces is geen legitiem Windows-onderdeel en werd waarschijnlijk geïmplementeerd om zich voor te doen als een systeemproces om argwaan te voorkomen. Nadere inspectie wees uit dat er nog meer onderliggende processen werden gegenereerd, met name cmd.exe, gevolgd door conhost.exe, dat vaak door malware wordt gebruikt voor het uitvoeren van opdrachten en het verwerken van payloads.

Nihanshu Katkar – Lat61 Threat Intelligence-team

Volgens onderzoek van Point Wild begint de aanval met een schadelijk bestand dat zich voordoet als een Minecraft-installatieprogramma. Wanneer een gebruiker dit uitvoert, plaatst de computer ongemerkt verschillende bestanden, waaronder het belangrijkste schadelijke programma, en leidt de gebruiker af door een browservenster te openen naar de nep-Minecraft-game . Terwijl de game speelt, draait het verborgen programma op de achtergrond.

Het onderstaande diagram illustreert hoe de malware ongemerkt bestanden plaatst, een nieuw item aanmaakt in de opstartbestanden van de computer om ervoor te zorgen dat deze altijd actief is, en vervolgens verbinding maakt met een externe server. Deze server, gehost in India in de cloud van Amazon, wordt door de aanvallers gebruikt om de geïnfecteerde computer te besturen en gegevens te stelen.

Dr. Zulfikar Ramzan , CTO van Point Wild en leider van het Lat61 Threat Intelligence-team, waarschuwt: "Bedreigers misbruiken de populariteit van Minecraft-mods om krachtige spyware te verspreiden. Wat eruitziet als een onschuldig spel, wordt in werkelijkheid een hulpmiddel voor spionage en datadiefstal."

Als je Minecraft speelt, zorg er dan voor dat je het via de officiële winkel downloadt en wees voorzichtig bij het kopen van skins en mods door ervoor te zorgen dat elke aankoop via de officiële winkel gebeurt. Het downloaden van apps van derden brengt je apparaat alleen maar verder in gevaar.