Hơn 1.500 game thủ Minecraft nhiễm mã độc Java giả mods game phát tán qua GitHub

WhiteHat Team

WhiteHat Team

Administrators
Thành viên BQT
09/04/2020
100
873 bài viết
Hơn 1.500 game thủ Minecraft nhiễm mã độc Java giả mods game phát tán qua GitHub
WhiteHat Team
Một chiến dịch phát tán mã độc quy mô lớn đã được các nhà nghiên cứu phát hiện, nhắm vào người chơi Minecraft trên toàn thế giới bằng cách sử dụng phần mềm giả mạo mods và tải xuống các trình đánh cắp dữ liệu của .NET, thông qua các kho lưu trữ GitHub ngụy trang dạng cheat game.. Ước tính hơn 1.500 thiết bị đã bị nhiễm phần mềm độc hại và con số này có thể còn tiếp tục tăng.

1750326664767.png

Các tệp Java độc hại được thiết kế để tải và chạy các payload phụ nhằm đánh cắp thông tin cá nhân, tài khoản Discord, dữ liệu ví tiền điện tử và các thông tin khác, rồi gửi về kẻ tấn công qua Discord webhook. Ngoài ra, các biến thể mới của phần mềm đánh cắp KimJongRAT cũng vừa được phát hiện, sử dụng các kỹ thuật mới như dùng máy chủ CDN để che giấu hoạt động.

Mã độc được phát tán thông qua một hệ thống có tên là Stargazers Ghost Network, hoạt động theo mô hình malware-as-a-service tức là cung cấp hạ tầng phát tán mã độc như một dịch vụ.

Chiến dịch này diễn ra theo một chuỗi tấn công nhiều giai đoạn (multi-stage attack):​

  1. Người chơi Minecraft bị dụ tải mods từ GitHub, trong đó chứa tệp JAR độc hại mang tên như “Oringo-1.8.9.jar”.
  2. Khi khởi động Minecraft, mods độc hại được nạp vào cùng các mods hợp lệ. Tệp JAR này lặng lẽ tải về một mã độc Java giai đoạn 2.
  3. Java stage 2 lại tiếp tục kết nối tới một địa chỉ IP ẩn (mã hóa Base64, lưu trữ trên Pastebin), tải về phần mềm đánh cắp thông tin (stealer) viết bằng .NET.
  4. Stealer này đánh cắp hàng loạt thông tin bao gồm:
    • Token Discord, Minecraft, dữ liệu Telegram
    • Mật khẩu trình duyệt, ví tiền mã hóa, tài khoản Steam, FileZilla…
    • Ảnh chụp màn hình, dữ liệu clipboard, tiến trình đang chạy, địa chỉ IP...
Cuối cùng, toàn bộ dữ liệu bị đánh cắp được gửi về kẻ tấn công qua Discord webhook – một kỹ thuật phổ biến nhưng khó phát hiện nếu không giám sát lưu lượng mạng chặt chẽ.

Vì sao người dùng dễ mắc bẫy?​

  • Mods giả mạo được chia sẻ công khai trên GitHub, đi kèm với mô tả hấp dẫn như “mods cheat”, “tool script hỗ trợ chơi game”.
  • Các mods được đánh dấu sao (stars), fork lại từ hàng trăm tài khoản GitHub giả mạo, khiến chúng trông rất hợp pháp.
  • Mods chỉ hoạt động nếu máy tính đã cài Minecraft, vì vậy khó bị phát hiện bởi các công cụ diệt virus truyền thống.
  • Mã độc sử dụng các kỹ thuật né tránh phân tích và máy ảo khiến nó hoàn toàn vô hình với phần mềm bảo mật hiện tại tại thời điểm viết bài.

Mức độ nguy hiểm và ảnh hưởng​

  • Đã có hơn 500 kho GitHub độc hại bị phát hiện, trong đó 70 tài khoản giả mạo đóng vai trò phát tán.
  • Hơn 1.500 thiết bị đã bị nhiễm, chủ yếu là máy tính cá nhân của game thủ Minecraft.
  • Mã độc có thể đánh cắp toàn bộ thông tin cá nhân, tài khoản game, ví tiền điện tử mà không hề gây nghi ngờ.
  • Có khả năng bị tiếp tục lợi dụng để lây lan ransomware hoặc bán thông tin trên thị trường ngầm

Hai biến thể mới:​

  • Một phiên bản chạy file .exe (PE).
  • Một phiên bản sử dụng PowerShell và shortcut (.lnk) để phát tán.
Khi người dùng vô tình bấm vào shortcut, mã độc sẽ tải về và chạy keylogger + stealer, từ đó đánh cắp dữ liệu nhạy cảm, mật khẩu, ví tiền mã hóa, thông tin FTP/email… rồi gửi về máy chủ của kẻ tấn công.

Cảnh báo & khuyến nghị cho người dùng​

Nếu bạn chơi Minecraft và từng cài mods từ GitHub gần đây, hãy:
  • Gỡ bỏ toàn bộ mods không rõ nguồn gốc, dùng máy ảo hoặc sandbox để kiểm tra mods lạ
  • Chỉ tải mods từ nguồn đáng tin cậy
  • Dùng phần mềm bảo mật kiểm tra toàn bộ máy, quét virus trước khi chạy file
  • Đổi mật khẩu tất cả tài khoản liên quan (game, Discord, Telegram…).
  • Không tải các bản mods “crack” từ những nguồn lạ, dù chúng được đánh dấu sao trên GitHub.
  • Không chạy file lạ ngoài Minecraft
  • Không lưu tài khoản quan trọng trên máy chơi mods
Đối với doanh nghiệp và quản trị viên bảo mật:
  • Giám sát kết nối tới Pastebin, Discord webhook và IP khả nghi (ví dụ: 147.45.79.104).
  • Triển khai chính sách kiểm soát ứng dụng, ngăn chạy file JAR và PowerShell không rõ nguồn.
  • Cập nhật giải pháp EDR để phát hiện các mẫu hành vi bất thường, tránh bị tấn công kiểu chuỗi nhiều giai đoạn.

Chiến dịch phát tán mã độc qua mods Minecraft giả đang lợi dụng sự cả tin và sở thích cá nhân của người dùng trẻ tuổi. Dù bạn là người chơi game hay nhân viên văn phòng hãy cực kỳ cẩn trọng khi tải nội dung từ nguồn bên ngoài, kể cả khi đó là GitHub hay website quen thuộc.

Theo The Hacker News
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Bạn phải đăng nhập hoặc đăng ký để phản hồi tại đây.
Bài viết liên quan
  • Lỗ hổng nghiêm trọng trong Zyxel bị hacker tái khai thác trên toàn cầu
  • Đừng chủ quan vì lỗ hổng đã được vá: CVE-2023-0386 quay lại tấn công hệ thống Linux
  • Lỗ hổng zero-day trong Google Chrome bị hacker khai thác để triển khai mã độc Trinper
  • Router TP-Link dính lỗ hổng nghiêm trọng, CISA phát cảnh báo khẩn
  • Lỗ hổng trong phần mềm ASUS mở cửa cho hacker tấn công Windows
  • Lỗ hổng nghiêm trọng trên Acer Control Center cho phép thực thi mã từ xa
    • Thẻ
    github minecraft powershell
    Bên trên