Cybercriminali Attaccano Giovani con Mod Falsi di Minecraft su GitHub!

di
Cybercriminals use fake GitHub Minecraft mods to target young players

Si sospetta che gli operatori di lingua russa siano dietro la Rete Fantasma Stargazers

Cosa è appena successo? Centinaia di repository su GitHub che offrono mod per Minecraft sono diventati l’ultimo campo di battaglia di una sofisticata campagna di malware, che prende di mira l’enorme e creativa comunità di giocatori del gioco. Al centro di questa operazione si trova la Rete Fantasma Stargazers, un’elaborata infrastruttura cybercriminale scoperta da Check Point Research.

A differenza delle tipiche campagne di malware, la Rete Fantasma Stargazers è un’operazione di distribuzione come servizio che utilizza migliaia di falsi account GitHub per diffondere software dannoso mascherato da mod legittime e strumenti di trucco. Questa operazione sfrutta la piattaforma affidabile di GitHub per distribuire archivi Java maligni, eludendo il rilevamento e compromettendo oltre 1.500 dispositivi da marzo 2025.

L’attacco inizia quando i giocatori installano mod contraffatte, spesso alla ricerca di vantaggi nel gameplay. Questi file JAR – progettati come mod di Minecraft Forge – si attivano solo all’avvio del gioco, implementando immediatamente difese anti-analisi. Il caricatore verifica la presenza di macchine virtuali, strumenti di sicurezza come Wireshark e monitor di rete, terminando se stesso se rilevati per evitare sandbox automatizzate.

Superati questi controlli, recupera un URL Pastebin codificato in Base64 che indirizza a un Java stealer di secondo livello ospitato su indirizzi IP controllati dall’attaccante. Questo payload intermedio prende di mira specificamente i token di autenticazione dai lanciatori ufficiali e di terze parti di Minecraft, mentre raccoglie simultaneamente dati delle sessioni di Discord e Telegram. Le credenziali rubate vengono trasmesse tramite richieste HTTP POST ai server di comando e controllo.

LEGGI  AMD: Lisa Su nominata CEO dell'anno da Time!

L’infezione si intensifica poiché questo stealer scarica ed esegue “44 CALIBER” – un payload finale basato su .NET. Identificato nei suoi metadati di assemblaggio e caratterizzato da messaggi di copyright in lingua russa come “F*ckTheSystem Copyright © 2021”, questo avanzato stealer prende di mira le credenziali del browser, i portafogli di criptovalute, le configurazioni VPN e i file memorizzati nelle cartelle Desktop e Documenti. Cattura screenshot, contenuti degli appunti e metadati del sistema prima di esfiltrare tutto attraverso i webhook di Discord.

Le prove indicano che gli operatori di lingua russa sono dietro la Rete Fantasma Stargazers, con timestamp UTC+3 sui commit maligni, commenti russi incorporati nel codice e nomi di pacchetti che fanno riferimento al Lago Baikal in Siberia a sostegno di questa conclusione.

Finte “stelle” da circa 70 account fanno apparire le mod maligne legittime, mentre i contatori di accesso di Pastebin suggeriscono almeno 1.500 infezioni riuscite. Mossi da motivazioni finanziarie, il gruppo avrebbe guadagnato fino a $8.000 al mese, con profitti totali che potrebbero raggiungere i $100.000.

La base di giocatori di Minecraft – oltre 200 milioni di utenti mensili, la maggior parte dei quali sotto i 21 anni o nei primi anni ’20 – la rende un obiettivo di alto valore. I giovani giocatori alla ricerca di miglioramenti non ufficiali spesso trascurano i rischi per la sicurezza, mentre la base Java del malware gli permette di eludere le scansioni antivirus tradizionali.

Con l’emergere quotidiano di nuovi repository, gli esperti esortano i giocatori a procurarsi mod esclusivamente da piattaforme verificate come CurseForge. Check Point Research continua a monitorare la Rete Fantasma Stargazers, con indagini in corso che rivelano nuovi vettori di infezione.

LEGGI  Prendi il cinturino per Apple Watch e la custodia per iPhone "Magma" in edizione limitata di Nomad finché puoi

Messaggi simili: