Bilgisayar korsanları, yüklenen değişiklikler aracılığıyla ve mevcut projelere kötü amaçlı kod enjekte ederek yeni bir 'FractureIser' bilgi çalma kötü amaçlı yazılımlarını dağıtmak için popüler Minecraft modding platformları Bukkit ve CurseForge'u kullandı.
Birden fazla rapora göre, saldırı birkaç CurseForge ve Bukkit hesabı tehlikeye atıldığında ve eklentilere ve modlara kötü amaçlı kod enjekte etmek için kullanıldı ve daha sonra 4.6 milyondan fazla indirme olan 'Better Minecraft' gibi popüler modpack'ler tarafından kabul edildi.
Özellikle, etkilenen modpack'lerin çoğu, iki faktörlü kimlik doğrulama ile korundukları iddia edilmelerine rağmen tehlikeye atılmıştır. Aynı zamanda, güncellemeler derhal halka açık görünmeyecek şekilde arşivlendi, ancak yine de API aracılığıyla kullanıcılara itildi.
Aşağıdaki modlar ve modpack'ler, FractureIser kötü amaçlı yazılımlardan etkilenen doğrulanmıştır:
CurseForge:
Bukkit:
Etkilenen oyuncular arasında son üç hafta içinde CurseForge ve Dev.bukkit.org'dan modları veya eklentileri indirenleri içerir, ancak enfeksiyonun kapsamı henüz tam olarak takdir edilmemiştir.
Enfekte bir mod indirme ve çalıştırma, enfekte olmuş bilgisayardaki tüm modlarda bir uzlaşma zincirini tetikler.
Luna Pixel Studios, geliştiricilerinden birinin enfekte olmuş bir mod denediğini ve modpack'lerini de etkileyen bir tedarik zinciri uzlaşmasıyla sonuçlandığını bildirdi.
Minecraft oyuncuları CurseForge Launcher'ı kullanmaktan veya CurseForge veya Bukkit eklenti depolarından durum temizlenene kadar herhangi bir şey indirmekten kaçınmalıdır.
Hackmd tarafından teknik bir rapor ve BleepingComputer tarafından analiz, Fractureiser kötü amaçlı yazılımlara daha fazla ışık tutuyor ve saldırının dört aşamada, yani 0, 1, 2 ve 3 aşamalarında gerçekleştirildiğini açıklıyor.
"Aşama 0", yeni modlar yüklendiğinde veya meşru modlar, proje için ana sınıfın sonuna yeni bir kötü amaçlı işlev ekleyecek şekilde kaçırıldığında ilk saldırı vektörüdür.
İşlev yürütüldüğünde, http: //85.217.144 [.] 130: 8080/dl URL'sine bir bağlantı yapılacak ve daha sonra yeni bir yardımcı sınıf olarak yürütülen dl.jar adlı bir dosya indirecektir.
Hackmd, sınıfın her tehlikeye atılan modda spesifik dize bağımsız değişkenlerine sahip olacağını söylüyor.
DL.JAR yürütüldüğünde, kötü amaçlı yazılım https://files-8ie.pages.dev/ip adresine bağlanır ve saldırganın komut ve kontrol sunucusu için bir IP adresi alır.
Hackmd, kötü amaçlı yazılımın ayrıca bir dosyayı indirmek ve "%localAppData%\ microsoft Edge \ libwebgl64.jar" (windows) veya "~/.config/.data/lib.jar olarak kaydetmek için Port 8083'teki IP adresine bağlanacağını söylüyor. "(Linux).
Kötü amaçlı yazılım, 'Run' kayıt defteri tuşunda bir AutoStart girişini yapılandırarak JAR dosyasını Windows'ta otomatik olarak başlatacak şekilde yapılandırır. Linux için, 'Systemd-Utility.service' adlı /etc /systemd altında yeni bir hizmet oluşturacaktır.
Llib.jar veya libwebgl64.jar, Windows ve Linux için 'Client.jar' [Virustotal] adlı ek bir yük indirdiğine inanılan gizlenmiş bir yükleyicidir.
Client.jar Yürütülebilir dosyası "Aşama 3" dir ve hook.dll adlı bilgi çalan bir kötü amaçlı yazılım şeklinde Java ve yerel pencereler kodunun son derece şaşkın bir karışımıdır.
Araştırmacılar, FractureIser Info-Destekar kötü amaçlı yazılımların şunları yapabileceğini belirtiyor:
Kötü amaçlı yazılım ayrıca, Windows başladığında http: //85.217.144 [.130/komut dosyasının yürütülmesine neden olan bir Windows kısayolu oluşturur.
Bu komut dosyası Java'nın yüklü olup olmadığını kontrol eder ve eğer Azul.com'dan indirmezse. Komut dosyası daha sonra dl.jar dosyasını %temp %\ \ \ \ \ \ \ \ \ \ \ \ \ \ installer.jar olarak yeniden yükleyecek ve piyasaya sürüldükçe yeni kötü amaçlı yazılım güncellemeleri dağıtacaktır.
Mod kullanan Minecraft oyuncularına her zaman modları indirirken çok dikkatli olmaları tavsiye edilir, ancak daha da fazlası bu FractureIser kampanyası aktifken
Fractureiser'ın enfekte olmasından korkanlar, sistemlerinde enfeksiyon belirtilerini kontrol etmek için topluluk tarafından sağlanan tarayıcı komut dosyaları (Windows için Get, Linux için alın) kullanabilir.
Bir enfeksiyonu gösteren manuel kontroller, aşağıdaki dosyaların veya Windows kayıt defteri anahtarlarının varlığını içerir:
Fractureiser kötü amaçlı yazılım hakkında hala bilinmeyen çok şey var, bu nedenle gelecekte yeni uzlaşma göstergeleri eklenebilir.
Gün ilerledikçe, daha fazla antivirüs motoru kötü niyetli Java yürütülebilir ürünlerini tespit etmeye başlayacaktır. Bu nedenle, bilgisayarınızı tararsanız ve hiçbir şey bulamazsanız, günün ilerleyen saatlerinde tarama yapmanız önerilir.
Ayrıca, bulaşmışsanız, bilgisayarınızı temizlemelisiniz, işletim sistemini ideal olarak yeniden yüklemelisiniz ve ardından tüm hesaplarınızdaki benzersiz şifrelere geçmelisiniz. Parolaları değiştirirken, kripto hesapları, e -posta, banka hesapları ve sahtekarlık için olgunlaşmış diğerleri gibi hassas hesaplara odaklanın.
Virustotal AI kod analizi Windows, Linux komut dosyası desteğini genişletir
Klonlanmış Capcut Web Siteleri Bilgi İtme Kötü Yazılımları Çalma
Kötü niyetli Microsoft VSCODE uzantıları şifreleri çalın, uzaktan kabukları açın
Dikkat etmek için yeni info-açılış kötü amaçlı yazılım operasyonları
Linux Bpfdoor kötü amaçlı yazılımın daha kapsamlı versiyonu,
Kaynak: Bleeping Computer