Fałszywy instalator Minecrafta rozprzestrzenia oprogramowanie szpiegujące NjRat w celu kradzieży danych

Fałszywy klon gry Minecraft, Eaglercraft 1.12 Offline, rozprzestrzenia oprogramowanie szpiegujące NjRat, które kradnie hasła i szpieguje za pośrednictwem kamery internetowej i mikrofonu, ostrzega zespół ds. bezpieczeństwa Point Wild.

Zespół ds. zagrożeń Lat61 z Point Wild odkrył nowe cyberzagrożenie skierowane przeciwko fanom popularnej gry Minecraft . Złośliwe oprogramowanie podszywające się pod instalator Minecrafta infekuje komputery, umożliwiając hakerom kradzież danych osobowych.

Wyniki badań udostępnione Hackread.com przez Point Wild nie powinny nikogo dziwić,biorąc pod uwagę, że już w 2021 r . Minecraft został ogłoszony grą najbardziej zainfekowaną złośliwym oprogramowaniem w historii.

Jeśli chodzi o ciągłe zagrożenie, złośliwe oprogramowanie jest ukryte w nieoficjalnym klonie Minecrafta, działającym w przeglądarce, o nazwie Eaglercraft 1.12 Offline, który jest często używany w szkołach i innych miejscach z ograniczeniami. Podczas gdy miliony graczy, w tym dzieci i okazjonalni gracze, pobierają treści związane z Minecraftem w ostatnim wzroście zainteresowania, nieświadomie narażają swoje komputery na ryzyko.

Badania ujawniają, że fałszywy instalator gry zawiera niebezpieczny typ trojana umożliwiającego zdalny dostęp (RAT) o nazwie NjRat , który od lat jest wykorzystywany przez cyberprzestępców w celu przejęcia pełnej kontroli nad zainfekowanymi urządzeniami.

To złośliwe oprogramowanie może wykonywać szereg szkodliwych działań bez wiedzy użytkownika. Wykorzystuje keyloggera do przechwytywania każdego naciśnięcia klawisza, co pozwala mu kraść nazwy użytkowników, hasła i inne poufne informacje. Potrafi również szpiegować użytkowników, uzyskując nieautoryzowany dostęp do kamery internetowej i mikrofonu komputera, umożliwiając atakującym dyskretne obserwowanie i podsłuchiwanie.

Dodatkowo tworzy furtkę, dodając ukryty program o nazwie WindowsServices.exe do plików startowych komputera, co gwarantuje jego uruchomienie przy każdym uruchomieniu systemu. Aby się chronić, złośliwe oprogramowanie jest zaprogramowane tak, aby po wykryciu narzędzi bezpieczeństwa, takich jak Wireshark , powodowało awarię systemu i wyświetlało niebieski ekran śmierci, co utrudnia analizę przez ekspertów.

„Podczas gdy gra działała pozornie jako rozpraszacz, w tle po cichu uruchamiał się ukryty proces o nazwie WindowsServices.exe. Proces ten nie jest legalnym składnikiem systemu Windows i prawdopodobnie został wdrożony tak, aby podszywać się pod proces systemowy, aby uniknąć podejrzeń. Dalsza analiza wykazała, że uruchomił on dodatkowe procesy potomne, w szczególności cmd.exe, a następnie conhost.exe, powszechnie używany przez złośliwe oprogramowanie do wykonywania poleceń i obsługi ładunku”.

Nihanshu Katkar – zespół ds. analizy zagrożeń Lat61

Według badań Point Wild, atak rozpoczyna się od złośliwego pliku podszywającego się pod instalator Minecrafta. Gdy użytkownik go uruchamia, komputer po cichu upuszcza kilka plików, w tym kluczowy złośliwy program, i odwraca uwagę użytkownika, otwierając okno przeglądarki z fałszywą grą Minecraft . Podczas rozgrywki ukryty program działa w tle.

Poniższy diagram ilustruje, jak złośliwe oprogramowanie dyskretnie kopiuje pliki, tworzy nowy wpis w plikach startowych komputera, aby zapewnić jego stałe działanie, a następnie łączy się ze zdalnym serwerem. Serwer ten, hostowany w Indiach w chmurze Amazon, jest wykorzystywany przez atakujących do kontrolowania zainfekowanego komputera i kradzieży danych.

Dr Zulfikar Ramzan , dyrektor techniczny Point Wild i lider zespołu ds. analizy zagrożeń Lat61, ostrzega: „Osoby zagrażające bezpieczeństwu wykorzystują popularność modów do gry Minecraft do rozprzestrzeniania potężnego oprogramowania szpiegującego. To, co wygląda na nieszkodliwą grę, w rzeczywistości staje się narzędziem szpiegowania i kradzieży danych”.

Dlatego jeśli grasz w Minecrafta, upewnij się, że pobierasz grę z oficjalnego sklepu i zachowaj ostrożność przy zakupie skórek i modów, upewniając się, że wszystkie zakupy są dokonywane w oficjalnym sklepie. Pobieranie aplikacji innych firm tylko narazi Twoje urządzenie na dodatkowe ryzyko.