Una nuova campagna malware multi-fase sta prendendo di mira gli utenti di Minecraft con un malware basato su Java che utilizza un’offerta di distribuzione come servizio (DaaS) chiamata Stargazers Ghost Network.
Attacco multi-fase contro gli utenti di Minecraft
Secondo i ricercatori di Check Point, Jaromír Hořejší e Antonis Terefos, la campagna ha portato a una catena di attacchi multi-fase che prende di mira specificamente gli utenti di Minecraft. Il malware si maschera da Oringo e Taunahi, strumenti di script e macro (noti anche come cheat). Entrambe le fasi iniziali sono sviluppate in Java e possono essere eseguite solo se il runtime di Minecraft è installato sulla macchina ospite.
Obiettivo finale: rubare informazioni
L’obiettivo finale dell’attacco è ingannare i giocatori facendogli scaricare una mod di Minecraft da GitHub, per poi consegnare un stealer di informazioni .NET con capacità di furto dati complete. La campagna è stata rilevata per la prima volta dalla società di cybersecurity nel marzo 2025.
Utilizzo del Stargazers Ghost Network
Ciò che rende l’attività degna di nota è l’uso di un’offerta illecita chiamata Stargazers Ghost Network, che sfrutta migliaia di account GitHub per creare repository contaminati che si spacciano per software crackati e cheat di giochi. Terefos ha dichiarato che sono stati segnalati “circa 500 repository GitHub, inclusi quelli forkati o copiati”, aggiungendo “Abbiamo anche visto 700 stelle prodotte da circa 70 account”.
Mod dannose come veicolo di infezione
Questi repository malevoli, che si spacciano per mod di Minecraft, fungono da veicolo per infettare gli utenti del popolare videogioco con un loader Java (ad esempio, “Oringo-1.8.9.jar”) che rimane non rilevato da tutti i motori antivirus al momento della scrittura. I file JAR implementano semplici tecniche anti-VM e anti-analisi per eludere gli sforzi di rilevamento.
Processo di infezione
Per aggiungere mod a un gioco di Minecraft, l’utente deve copiare l’archivio JAR malevolo nella cartella delle mod di Minecraft. Dopo aver avviato il gioco, il processo di Minecraft caricherà tutte le mod dalla cartella, inclusa la mod malevola, che scaricherà ed eseguirà la seconda fase.
Furto di dati e credenziali
Oltre a scaricare il stealer .NET, il secondo stadio del malware è equipaggiato per rubare token di Discord e Minecraft, oltre a dati relativi a Telegram. Il stealer .NET, d’altra parte, è in grado di raccogliere credenziali da vari browser web e raccogliere file e informazioni da portafogli di criptovalute e altre app come Steam e FileZilla. Può anche scattare screenshot e raccogliere informazioni relative ai processi in esecuzione, all’indirizzo IP esterno del sistema e ai contenuti degli appunti. Le informazioni catturate vengono infine raggruppate e trasmesse all’attaccante tramite un webhook di Discord.
Fonte: The Hackers News
Ricevi le ultime attualità sul mondo tech!
