Một chiến dịch phát tán mã độc quy mô lớn đã được các nhà nghiên cứu phát hiện, nhắm vào người chơi Minecraft trên toàn thế giới bằng cách sử dụng phần mềm giả mạo mods và tải xuống các trình đánh cắp dữ liệu của .NET, thông qua các kho lưu trữ GitHub ngụy trang dạng cheat game.. Ước tính hơn 1.500 thiết bị đã bị nhiễm phần mềm độc hại và con số này có thể còn tiếp tục tăng.
Các tệp Java độc hại được thiết kế để tải và chạy các payload phụ nhằm đánh cắp thông tin cá nhân, tài khoản Discord, dữ liệu ví tiền điện tử và các thông tin khác, rồi gửi về kẻ tấn công qua Discord webhook. Ngoài ra, các biến thể mới của phần mềm đánh cắp KimJongRAT cũng vừa được phát hiện, sử dụng các kỹ thuật mới như dùng máy chủ CDN để che giấu hoạt động.
Mã độc được phát tán thông qua một hệ thống có tên là Stargazers Ghost Network, hoạt động theo mô hình malware-as-a-service tức là cung cấp hạ tầng phát tán mã độc như một dịch vụ.
Mã độc được phát tán thông qua một hệ thống có tên là Stargazers Ghost Network, hoạt động theo mô hình malware-as-a-service tức là cung cấp hạ tầng phát tán mã độc như một dịch vụ.
Chiến dịch này diễn ra theo một chuỗi tấn công nhiều giai đoạn (multi-stage attack):
- Người chơi Minecraft bị dụ tải mods từ GitHub, trong đó chứa tệp JAR độc hại mang tên như “Oringo-1.8.9.jar”.
- Khi khởi động Minecraft, mods độc hại được nạp vào cùng các mods hợp lệ. Tệp JAR này lặng lẽ tải về một mã độc Java giai đoạn 2.
- Java stage 2 lại tiếp tục kết nối tới một địa chỉ IP ẩn (mã hóa Base64, lưu trữ trên Pastebin), tải về phần mềm đánh cắp thông tin (stealer) viết bằng .NET.
- Stealer này đánh cắp hàng loạt thông tin bao gồm:
- Token Discord, Minecraft, dữ liệu Telegram
- Mật khẩu trình duyệt, ví tiền mã hóa, tài khoản Steam, FileZilla…
- Ảnh chụp màn hình, dữ liệu clipboard, tiến trình đang chạy, địa chỉ IP...
Vì sao người dùng dễ mắc bẫy?
- Mods giả mạo được chia sẻ công khai trên GitHub, đi kèm với mô tả hấp dẫn như “mods cheat”, “tool script hỗ trợ chơi game”.
- Các mods được đánh dấu sao (stars), fork lại từ hàng trăm tài khoản GitHub giả mạo, khiến chúng trông rất hợp pháp.
- Mods chỉ hoạt động nếu máy tính đã cài Minecraft, vì vậy khó bị phát hiện bởi các công cụ diệt virus truyền thống.
- Mã độc sử dụng các kỹ thuật né tránh phân tích và máy ảo khiến nó hoàn toàn vô hình với phần mềm bảo mật hiện tại tại thời điểm viết bài.
Mức độ nguy hiểm và ảnh hưởng
- Đã có hơn 500 kho GitHub độc hại bị phát hiện, trong đó 70 tài khoản giả mạo đóng vai trò phát tán.
- Hơn 1.500 thiết bị đã bị nhiễm, chủ yếu là máy tính cá nhân của game thủ Minecraft.
- Mã độc có thể đánh cắp toàn bộ thông tin cá nhân, tài khoản game, ví tiền điện tử mà không hề gây nghi ngờ.
- Có khả năng bị tiếp tục lợi dụng để lây lan ransomware hoặc bán thông tin trên thị trường ngầm
Hai biến thể mới:
- Một phiên bản chạy file .exe (PE).
- Một phiên bản sử dụng PowerShell và shortcut (.lnk) để phát tán.
Cảnh báo & khuyến nghị cho người dùng
Nếu bạn chơi Minecraft và từng cài mods từ GitHub gần đây, hãy:- Gỡ bỏ toàn bộ mods không rõ nguồn gốc, dùng máy ảo hoặc sandbox để kiểm tra mods lạ
- Chỉ tải mods từ nguồn đáng tin cậy
- Dùng phần mềm bảo mật kiểm tra toàn bộ máy, quét virus trước khi chạy file
- Đổi mật khẩu tất cả tài khoản liên quan (game, Discord, Telegram…).
- Không tải các bản mods “crack” từ những nguồn lạ, dù chúng được đánh dấu sao trên GitHub.
- Không chạy file lạ ngoài Minecraft
- Không lưu tài khoản quan trọng trên máy chơi mods
- Giám sát kết nối tới Pastebin, Discord webhook và IP khả nghi (ví dụ: 147.45.79.104).
- Triển khai chính sách kiểm soát ứng dụng, ngăn chạy file JAR và PowerShell không rõ nguồn.
- Cập nhật giải pháp EDR để phát hiện các mẫu hành vi bất thường, tránh bị tấn công kiểu chuỗi nhiều giai đoạn.
Theo WhiteHat.vn
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview