Centenas de repositórios no GitHub, que ofereciam mods para o popular jogo Minecraft, transformaram-se no campo de batalha de uma sofisticada campanha de malware. A comunidade vasta e criativa de jogadores está na mira da "Stargazers Ghost Network", uma elaborada infraestrutura de cibercrime descoberta pela Check Point Research.
Diferente das campanhas de malware habituais, a Stargazers Ghost Network funciona como uma operação de "distribuição como serviço". Utiliza milhares de contas falsas no GitHub para disseminar software malicioso disfarçado de mods e ferramentas de batota (cheats) legítimas. Ao abusar da confiança na plataforma GitHub, os atacantes conseguem distribuir ficheiros Java maliciosos, iludindo a deteção e comprometendo mais de 1.500 dispositivos desde março de 2025.
Como funciona este elaborado ataque ao Minecraft
O ataque começa quando um jogador instala um destes mods falsificados, muitas vezes na esperança de obter vantagens no jogo. Estes ficheiros JAR, concebidos para se passarem por mods do Minecraft Forge, só são ativados quando o jogo é iniciado, implementando imediatamente defesas anti-análise. O carregador verifica a presença de máquinas virtuais, ferramentas de segurança como o Wireshark e monitores de rede, terminando a sua execução se detetar que está a ser analisado num ambiente controlado (sandbox).
Se passar nestas verificações, o malware acede a um URL do Pastebin, codificado em Base64, que aponta para um "stealer" de segunda fase, alojado em endereços IP controlados pelos atacantes. Este payload intermédio tem como alvo específico os tokens de autenticação dos lançadores oficiais e de terceiros do Minecraft, ao mesmo tempo que recolhe dados de sessão do Discord e Telegram. As credenciais roubadas são depois enviadas para servidores de comando e controlo.
"44 CALIBER": o payload final que rouba tudo o que encontra
A infeção escala quando o stealer descarrega e executa o "44 CALIBER", o payload final desenvolvido em .NET. Identificado pelos seus metadados e incluindo mensagens de copyright em russo como "F*ckTheSystem Copyright 2021", este stealer avançado foca-se em roubar:
- Credenciais guardadas nos navegadores de internet.
- Carteiras de criptomoedas.
- Configurações de VPN.
- Ficheiros armazenados no Ambiente de Trabalho e na pasta Documentos.
Além disso, o "44 CALIBER" captura imagens do ecrã, o conteúdo da área de transferência e metadados do sistema, enviando toda a informação recolhida através de webhooks do Discord.
Pistas apontam para a Rússia e lucros de milhares de euros
As evidências sugerem que os operadores por detrás da Stargazers Ghost Network são de língua russa. Carimbos de data/hora nos commits maliciosos correspondem ao fuso horário UTC+3, foram encontrados comentários em russo no código e os nomes dos pacotes fazem referência ao Lago Baikal, na Sibéria.
Para dar uma aparência de legitimidade aos mods maliciosos, os atacantes usam cerca de 70 contas falsas para atribuir "estrelas" aos repositórios. Os contadores de visualizações no Pastebin indicam pelo menos 1.500 infeções bem-sucedidas. A motivação é financeira, com o grupo a faturar, segundo as estimativas, até 7.500 euros por mês, podendo os lucros totais chegar perto dos 95.000 euros.
Comunidade jovem na mira: como pode proteger-se
Com mais de 200 milhões de utilizadores mensais, a maioria com menos de 21 anos, a base de jogadores de Minecraft é um alvo de alto valor. Os jogadores mais jovens, que procuram melhorias não oficiais para o jogo, tendem a ignorar os riscos de segurança, enquanto a base em Java do malware o ajuda a escapar às análises dos antivírus tradicionais.
Com novos repositórios maliciosos a surgirem diariamente, os especialistas aconselham os jogadores a obterem mods exclusivamente de plataformas verificadas e seguras, como o CurseForge.
Nenhum comentário
Seja o primeiro!