MAESTRO-NERO

CyberSecurty انضم الى قناتنا على التلجرام هنا
الصفحة الرئيسية
Access

Over 1500 Minecraft players infected

حملة برمجيات خبيثة تستهدف لاعبي Minecraft باستخدام مودات مزيفة على GitHub، وتتضمن سرقة بيانات حساسة وتوزيع عبر Stargazers Ghost Network.


أكثر من 1500 لاعب Minecraft يصابون ببرمجيات خبيثة Java متنكرة كمودات على GitHub

نظرة عامة على الحملة الخبيثة

رصد باحثو Check Point حملة برمجيات خبيثة متعددة المراحل تستهدف لاعبي Minecraft، حيث تتنكر على شكل مودات مزيفة منشورة على GitHub، مستغلة منصة توزيع خبيثة تُعرف بـ Stargazers Ghost Network.

آلية الهجوم وسير العدوى

  • البرمجيات الخبيثة تتنكر كمودات Minecraft مثل "Oringo" و"Taunahi".
  • المرحلتان الأولى والثانية مكتوبتان بلغة Java ولا تعملان إلا إذا كان Minecraft مثبتًا على الجهاز.
  • عند نسخ ملف JAR الخبيث إلى مجلد مودات Minecraft وتشغيل اللعبة، يتم تحميل هذا الملف تلقائيًا.
  • ملف JAR الأولي يقوم بتنزيل ملف JAR ثانٍ يحتوي على Stealer .NET كحمولة نهائية.
  • عنوان IP الخاص بالمرحلة الثانية مشفر بصيغة Base64 ومخزن على Pastebin.

قدرات سرقة البيانات

  • سرقة رموز Discord وMinecraft، وبيانات مرتبطة بتطبيق Telegram.
  • Stealer .NET يجمع بيانات اعتماد من المتصفحات، ومحافظ العملات الرقمية، وتطبيقات مثل Steam وFileZilla.
  • يأخذ لقطات شاشة، ويجمع بيانات العمليات الجارية، وعنوان IP الخارجي، ومحتوى الحافظة.
  • يتم إرسال المعلومات المجمعة إلى المهاجم عبر Discord webhook.

البنية التحتية والمصدر المحتمل

  • تم تحديد أكثر من 500 مستودع GitHub خبيث و70 حسابًا نشروا ما يزيد عن 700 نجمة زائفة.
  • تتميز ملفات JAR بتقنيات مضادة للبيئة الافتراضية (anti-VM) والتحليل لكشف المراقبة.
  • وجود مؤشرات لغوية تشير إلى أن الجهة المهاجمة ناطقة بالروسية، وتعمل ضمن التوقيت UTC+03:00.
  • تقدر عدد الأجهزة المصابة بأكثر من 1500 جهاز.

أهمية الوعي الأمني

تسلط هذه الحملة الضوء على مدى استغلال مجتمعات الألعاب الشعبية كقنوات فعالة لتوزيع البرمجيات الخبيثة، ما يستدعي الحذر عند تحميل محتوى طرف ثالث غير موثوق، خصوصًا المودات والبرمجيات "المجانية".

متغيرات جديدة من KimJongRAT رُصدت مؤخرًا

رصدت Palo Alto Networks Unit 42 نسختين جديدتين من أداة سرقة المعلومات KimJongRAT، والمرتبطة بهجمات سابقة من كوريا الشمالية مثل BabyShark وStolen Pencil.

  • إحدى النسخ تعتمد على ملف PE، والأخرى على PowerShell.
  • تبدأ الهجمة من خلال تشغيل ملف اختصار LNK ينزل ملف dropper من CDN خبيث.
  • النسخة PowerShell تحتوي على أرشيف ZIP مرفق يحتوي على سكربتات تتضمن keylogger وKimJongRAT.
  • كلا النسختين قادرتين على سرقة بيانات المتصفح، ومحافظ العملات الرقمية، ومعلومات FTP والبريد الإلكتروني.

أكد الباحثون أن استمرار تطوير KimJongRAT باستخدام تقنيات توزيع جديدة يدل على التهديد المستمر والتكيف السريع للمهاجمين.