Fractureiser атакует игроков в Minecraft | Блог Касперского

Моды для Minecraft с сайтов CurseForge и dev.bukkit, были заражены зловредом fractureiser.

В геймерских сообществах появилась информация о том, что множество модов для игры Minecraft, скачиваемых с сайтов CurseForge и dev.bukkit.org, было заражено неизвестным зловредом. Условно его назвали fractureiser. Игрокам рекомендуется временно не скачивать новые файлы .jar с этих ресурсов, а если что-то устанавливали в последнее время — проверить компьютер антивирусной программой. Под угрозой пользователи игры для Windows и Linux (другие операционные системы вроде бы не затронуты).

Как зловреды попали в моды?

Согласно первоначальной версии, были скомпрометированы учетные записи разработчиков на сайтах CurseForge.com и dev.bukkit.org. Это позволило неизвестным злоумышленникам внедрить свой вредоносный код в некоторые моды.

Впрочем, разработчики утилиты Prism Launcher считают, что речь может идти об эксплуатации уязвимости в платформе Overwolf. Они также опубликовали список модов, в которых был замечен fractureiser.

Что за зловред fractureiser и что он делает?

По сведениям энтузиастов, после установки скомпрометированного мода и запуска игры вредоносный код обращается к удаленному серверу и скачивает дополнительную вредоносную нагрузку, которая незамедлительно начинает создавать директории и скрипты, а также вносить изменения в системный реестр с целью запуска зловреда при перезагрузке компьютера.

Независимые исследователи утверждают, что на финальном этапе заражения вредоносное ПО пытается распространить заразу на все файлы .jar, обнаруженные в системе (вероятно, пытаясь добраться до модов, которые были скачаны ранее). Кроме того, зловред умеет воровать куки и учетные данные из ряда браузеров, а также подменять адреса криптокошельков в буфере обмена.

Признаки заражения зловредом fractureiser

Участники обсуждения на reddit пришли к выводу, что индикатором заражения компьютера под Windows можно считать наличие на нем файла libWebGL64.jar, который зловред создает в папке %LOCALAPPDATA%/Microsoft Edge/ или /AppData/Local/Microsoft Edge/. Чтобы иметь возможность увидеть эти файлы, нужно в меню «Параметры папок» выбрать опцию «Показывать скрытые файлы, папки и диски», а также отключить «Скрывать защищенные системные файлы».

Как оставаться в безопасности?

Если вы играете в Minecraft и используете сторонние модификации, то первым делом имеет смысл проверить свой компьютер надежной антивирусной программой. В случае обнаружения зловреда при сканировании следует сменить все используемые на этой машине пароли к онлайн-ресурсам.

Также мы рекомендуем следить за новостями и до разрешения ситуации не скачивать новые моды для Minecraft (причем не только непосредственно с вышеупомянутых сайтов — не стоит устанавливать их и через стороннее ПО). Другие игры, моды, аддоны и плагины к которым распространяются тем же способом, вроде бы не затронуты данной атакой. Однако если каналы доставки модификаций действительно скомпрометированы, то не исключено, что злоумышленники найдут альтернативные способы заражения.

Вообще, всевозможные игровые модификации, как правило, разрабатываются энтузиастами и хранятся на независимых платформах. Разработчики самих игр не несут ответственность за их безопасность. Поэтому лучше использовать моды только на компьютерах с установленными защитными решениями.

07.06.2023