Uma campanha de malware em larga escala está a visar especificamente os jogadores de Minecraft, utilizando mods e cheats maliciosos para infetar dispositivos Windows. O objetivo é claro: roubar credenciais, tokens de autenticação e carteiras de criptomoedas, num ataque que aproveita a enorme popularidade do ecossistema de modificações do jogo.
A descoberta foi feita pelos investigadores da Check Point Research, que identificaram a rede "Stargazers Ghost Network" como a responsável pela operação. Este grupo utiliza plataformas legítimas como o GitHub para distribuir o seu software malicioso, alcançando um vasto público de alvos potenciais. A dimensão da campanha é assinalável, com os links do Pastebin usados para entregar o malware a acumularem milhares de visualizações.
Como funciona este ataque disfarçado
A operação, descrita como "distribuição-como-serviço" (DaaS), não é nova, tendo sido documentada pela primeira vez no ano passado. No entanto, a sua mais recente iteração foca-se nos jogadores de Minecraft com um malware Java desenhado para escapar à deteção dos motores antivírus.
Os atacantes criaram cerca de 500 repositórios no GitHub, disfarçados de ferramentas populares como Skyblock Extras, Polar Client, Oringo e Taunahi. Estes projetos falsos atraem os jogadores que procuram melhorar a sua experiência de jogo, mas acabam por instalar um carregador malicioso.
O processo de infeção decorre em várias fases:
- O ficheiro JAR inicial, executado dentro do Minecraft, descarrega o próximo componente a partir de um link codificado no Pastebin.
- Este segundo ficheiro é um ladrão de informações (infostealer) baseado em Java, que visa especificamente os tokens da conta Minecraft e dados de launchers populares como o Feather, Lunar e Essential. Tenta também roubar tokens de acesso do Discord e Telegram.
- Finalmente, este ladrão de Java serve de porta de entrada para o malware final, um stealer mais "tradicional" baseado em .NET e batizado de "44 CALIBER".
O que está em risco? De browsers a carteiras de criptomoedas
É com o "44 CALIBER" que o verdadeiro perigo se materializa. Este componente é capaz de extrair uma enorme quantidade de informação sensível armazenada no computador da vítima. A lista de alvos inclui:
- Browsers: Credenciais e dados do Chromium, Edge e Firefox.
- Ficheiros: Vasculha pastas como o Ambiente de Trabalho, Documentos e outras pastas de utilizador.
- Carteiras de Criptomoedas: Procura ativamente por carteiras de Bitcoin, Ethereum, Monero, Exodus, Zcash e muitas outras.
- Aplicações: Rouba dados do Steam, Discord, Telegram, FileZilla e de clientes VPN como ProtonVPN e NordVPN.
Para além do roubo de dados, o "44 CALIBER" recolhe informação do sistema, monitoriza a área de transferência e consegue até capturar imagens do ecrã do utilizador. Toda a informação roubada é depois enviada para os servidores dos atacantes através de webhooks do Discord.
Como proteger a sua conta e o seu PC
Os investigadores da Check Point alertam que os operadores da campanha parecem ser de origem russa, com base em comentários deixados no código e nos registos de tempo dos commits no GitHub (fuso horário UTC+3). Para se proteger desta e de outras ameaças semelhantes, é crucial adotar uma postura de segurança mais rigorosa:
- Descarregue apenas de fontes fidedignas: Utilize apenas portais de mods verificados e da comunidade, evitando links diretos ou fontes desconhecidas.
- Verifique os repositórios do GitHub: Se um mod o levar para o GitHub, analise o projeto. Desconfie de repositórios com poucas "estrelas", forks ou contribuidores. Verifique o histórico de commits para detetar sinais de atividade falsa.
- Use uma conta "descartável": Para testar novos mods, considere usar uma conta de Minecraft secundária, sem ligação aos seus dados principais. Nunca inicie sessão na sua conta principal enquanto testa software de fontes não seguras.
Nenhum comentário
Seja o primeiro!