Uma nova campanha de malware multi-estágio está mirando usuários de Minecraft com um malware baseado em Java que faz uso de uma oferta de distribuição como serviço (DaaS) chamada Stargazers Ghost Network.
"As campanhas resultaram em uma cadeia de ataques multi-estágio mirando especificamente usuários de Minecraft," disseram os pesquisadores da Check Point Jaromír Hořejší e Antonis Terefos em um relatório compartilhado com a imprensa.
"O malware estava se passando por Oringo e Taunahi, que são ferramentas de 'Scripts e macros' (conhecidos como cheats).
Tanto a primeira quanto a segunda etapa são desenvolvidas em Java e só podem ser executadas se o ambiente de execução do Minecraft estiver instalado na máquina hospedeira."
O objetivo final do ataque é enganar os jogadores para baixarem um mod de Minecraft do GitHub e entregar um stealer de informações .NET com capacidades abrangentes de furto de dados.
A campanha foi detectada pela primeira vez pela empresa de cibersegurança em Março de 2025.
O que torna a atividade notável é seu uso de uma oferta ilícita chamada Stargazers Ghost Network, que faz uso de milhares de contas GitHub para configurar repositórios contaminados que se disfarçam como software crackeado e cheats de jogos.
Terefos disse que eles marcaram "aproximadamente 500 repositórios GitHub, incluindo aqueles que são bifurcados ou copiados," acrescentando "Nós também vimos 700 estrelas produzidas por aproximadamente 70 contas."
Esses repositórios maliciosos, disfarçados como mods de Minecraft, servem como um conduto para infectar usuários do popular videogame com um carregador Java (por exemplo, "Oringo-1.8.9.jar") que permanece não detectado por todos os motores antivírus até o momento da escrita.
Os arquivos Java archive (JAR) implementam técnicas simples anti-VM e anti-análise para evitar esforços de detecção.
Seu objetivo principal é baixar e executar outro arquivo JAR, um ladrão de segunda etapa que busca e executa um ladrão .NET como payload final quando o jogo é iniciado pela vítima.
O componente de segunda etapa é recuperado de um endereço IP ("147.45.79.104") que está armazenado em formato codificado em Base64 no Pastebin, essencialmente transformando a ferramenta de cola em um resolvedor de dead drop.
"Para adicionar mods a um jogo de Minecraft, o usuário deve copiar o arquivo JAR malicioso no diretório de mods do Minecraft.
Após iniciar o jogo, o processo do Minecraft carregará todos os mods do diretório, incluindo o mod malicioso, que baixará e executará a segunda etapa," disseram os pesquisadores.
Além de baixar o ladrão .NET, o ladrão de segunda etapa está equipado para roubar tokens do Discord e Minecraft, assim como dados relacionados ao Telegram.
O ladrão .NET, por outro lado, é capaz de colher credenciais de vários navegadores web e reunir arquivos e informações de carteiras de criptomoedas e outros aplicativos como Steam e FileZilla.
Também pode tirar capturas de tela e acumular informações relacionadas a processos em execução, o endereço IP externo do sistema e conteúdos da área de transferência.
As informações capturadas são eventualmente agrupadas e transmitidas de volta ao atacante via um webhook do Discord.
A campanha é suspeita de ser obra de um ator de ameaça falante da língua russa devido à presença de vários artefatos escritos em russo e o fuso horário dos commits do atacante (UTC+03:00).
Estima-se que mais de 1.500 dispositivos possam ter caído presa ao esquema.
"Este caso destaca como comunidades de jogos populares podem ser exploradas como vetores eficazes para distribuição de malware, enfatizando a importância de cautela ao baixar conteúdo de terceiros," disseram os pesquisadores.
A Stargazers Ghost Network tem distribuído ativamente este malware, mirando jogadores de Minecraft que procuram por mods para melhorar sua jogabilidade.
O que parecia ser downloads inofensivos eram, na verdade, carregadores baseados em Java que implantavam dois ladrões adicionais, capazes de exfiltrar credenciais e outros dados sensíveis.
Novas Variantes do Stealer KimJongRAT Detectadas:
O desenvolvimento ocorre enquanto a Unit 42 da Palo Alto Networks detalhou duas novas variantes de um stealer de informações codinome KimJongRAT que provavelmente está conectado ao mesmo ator de ameaças norte-coreano por trás do BabyShark e Stolen Pencil.
KimJongRAT tem sido detectado no ambiente desde Maio de 2013, entregue como um payload secundário nos ataques do BabyShark.
"Uma das novas variantes usa um arquivo Portable Executable (PE) e a outra usa uma implementação PowerShell," disse o pesquisador de segurança Dominik Reichel.
As variantes PE e PowerShell são ambas iniciadas ao clicar em um arquivo de atalho do Windows (LNK) que baixa um arquivo dropper de uma conta controlada pelo atacante na rede de entrega de conteúdo (CDN).
Enquanto o dropper da variante PE implanta um carregador, um PDF falso e um arquivo de texto, o dropper na variante PowerShell implanta um arquivo PDF falso junto com um arquivo ZIP.
O carregador, por sua vez, baixa payloads auxiliares, incluindo o componente ladrão para KimJongRAT.
O arquivo ZIP entregue pelo dropper da variante PowerShell contém scripts que incorporam o ladrão baseado em PowerShell e componentes de keylogger do KimJongRAT.
Ambas as novas encarnações são capazes de coletar e transferir informações da vítima, arquivos correspondentes a extensões específicas e dados do navegador, como credenciais e detalhes de extensões de carteira de criptomoedas.
A variante PE do KimJongRAT também é projetada para colher informações de cliente FTP e e-mail.
"A contínua evolução e implantação do KimJongRAT, apresentando técnicas em mudança como o uso de um servidor CDN legítimo para disfarçar sua distribuição, demonstra uma ameaça clara e contínua," disse a Unit 42.
Essa adaptabilidade não apenas evidencia a ameaça persistente representada por esse malware, mas também sublinha o comprometimento de seus desenvolvedores em atualizar e expandir suas capacidades.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...