Minecraft è stato attaccato da un malware travestito da mod, scaricato su GitHub da circa 1.500 utenti. Basato su Java, il malware in questione porta un attacco a più stadi.
Secondo i ricercatori di Check Point, la campagna si basa su un'operazione di distribuzione come servizio (DaaS) nota come Stargazers Ghost Network. L'operazione utilizza falsi repository di GitHub per ingannare gli utenti e indurli a scaricare mod dannose di Minecraft.
Un piano ingegnoso
La campagna è progettata per distribuire un "information stealer" basato su .NET.
Inizia con le vittime che scaricano da GitHub quelle che credono essere modifiche legittime di Minecraft o cheat, come Oringo o Taunahi. Entrambi si presentano come file .jar e possono essere eseguiti solo se Minecraft è installato, garantendo così di colpire specificamente quella base di utenti.
Una volta eseguito, il loader basato su Java recupera ed esegue silenziosamente un payload Java di secondo stadio, che a sua volta scarica lo stealer .NET finale. Nessuno di questi componenti è stato rilevato dai motori antivirus al momento dell'analisi. Antonis Terefos di Check Point ha riferito che gli hacker hanno utilizzato circa 500 repository di GitHub, alcuni dei quali erano fork o copie l'uno dell'altro. Erano fatti per sembrare software craccato o cheat per videogiochi. Sono stati usati circa 70 account per generare 700 "star" su GitHub, aumentando la loro visibilità e credibilità agli occhi degli utenti ignari di cosa nascondevano. Un piano ben escogitato, insomma, che ha richiesto del tempo per essere scoperto.
