Подробности
Как работает новая угроза для игроков MinecraftСпециалист по информационной безопасности Эрик Паркер опубликовал подробный разбор новой схемы компрометации систем, нацеленной на игроков в Minecraft. Злоумышленники используют связку из легитимно выглядящей модификации и вредоносного ресурс-пака, чтобы получить полный контроль над компьютерами жертв. В последнее время среди сообщества игроков Minecraft участились случаи, когда через текстовые каналы Discord пользователям предлагают протестировать работу новых серверов.
Для подключения к такому серверу организаторы просят установить специальную модификацию QualityCraft, размещенную на популярной платформе CurseForge. Изначально этот мод не совершает вредоносных действий в системе, из-за чего он легко проходит автоматическую модерацию на крупных игровых ресурсах. Суть угрозы заключается в том, что модификация QualityCraft добавляет в клиент игры уязвимость удаленного выполнения кода.
Она запрограммирована на поиск скрытых данных в файлах загружаемых ресурс-паков. Когда игрок подключается к целевому серверу, ему автоматически предлагается скачать и применить уникальный серверный ресурс-пак. На чистой версии игры без установленного мода этот ресурс-пак абсолютно безвреден, однако при наличии QualityCraft запускается скрытый процесс. Вредоносный код, спрятанный за пределами стандартного заголовка архива ресурс-пака, извлекается модификацией и запускает цепочку исполнения через сценарии VBScript. Это приводит к загрузке и незаметному выполнению командного файла update.
bat, который в свою очередь скачивает обратную оболочку rev. bat. На этапе анализа специалист зафиксировал установку троянов удаленного доступа, включая вредоносное программное обеспечение Quasar RAT и PureHVNC, а также программу для кражи персональных данных и паролей. Исследователь отмечает, что организаторы атаки ведут себя дружелюбно в личной переписке. В случае, если жертва начинает подозревать обман или отказывается устанавливать мод, злоумышленники продолжают общение, стараясь втереться в доверие и предложить другие совместные игры. Таким образом они пытаются снизить бдительность пользователя, чтобы в конечном итоге заставить его запустить вредоносный файл.
На момент публикации видео защитные механизмы операционной системы Windows и встроенный антивирус Windows Defender слабо детектировали угрозу, поскольку основная часть вредоносной активности распределена между различными этапами загрузки. Поскольку вредоносная цепочка срабатывает только при одновременном наличии модификации и скачивании ресурс-пака с зараженного сервера, установка только модификации или только ресурс-пака по отдельности не нанесет вреда системе. Игрокам, которые столкнулись с подобной проблемой и загрузили и модификацию, и ресурс-пак, рекомендуется тщательно проверить реестр автозагрузки с помощью специализированных утилит, таких как Autoruns, или выполнить полную переустановку операционной системы. Имена создаваемых вредоносных файлов в системе не рандомизируются, что облегчает их обнаружение по названиям, таким как WidgetService. exe.
Комментарии
Оставляйте комментарии, отвечайте другим пользователям и добавляйте быстрые реакции.