Minecraft je jednou z nejpopulárnějších videoher všech dob. Už v roce 2023 překonal bájnou hranici 300 milionů prodaných kopií a může se pochlubit desítkami milionů aktivních hráčů. O popularitě tohoto fenoménu svědčí i úspěch filmu Minecraft v kinech.
Hráče láká kreativní svět i možnost vylepšit hru pomocí modů vytvořených uživateli, které zlepšují hratelnost, opravují chyby a přidávají nový obsah. Odhaduje se, že Minecraft aktivně moduje více než milion hráčů, kteří tvoří živou a kreativní komunitu.
Ovšem sledujeme i odvrácenou stranu popularity, protože na každém úspěchu se snaží přiživit i kyberzločinci. Přibližně 64 % hráčů Minecraftu je mladších 21 let, což z této platformy dělá atraktivní cíl pro kyberzločince, kteří chtějí zneužít velkou, aktivní a často méně chráněnou skupinu uživatelů.
Kyberbezpečnostní společnost Check Point Software Technologies odhalila útoky zaměřené právě na aktivní hráče Minecraftu prostřednictvím sítě známé jako Stargazers Ghost Network. Ta byla poprvé identifikovaná v červenci 2024 a funguje jako DaaS (distribuce jako služba). Využívá různé účty na GitHubu k masivnímu šíření škodlivých odkazů a malwaru.
„Pomocí této sítě byl proveden vícestupňový útok, jehož cílem bylo nepozorovaně infikovat počítače uživatelů. Malware byl zamaskovaný v populárních modech Oringo a Taunahi, které jsou běžně známé jako cheatovací a automatizační nástroje. Útok se skládal z několika fází a vyžadoval, aby byl Minecraft nainstalován na zařízení oběti. Je tedy zřejmé, že terčem jsou aktivní hráči,“ říká Jaromír Hořejší, Security Researcher z kyberbezpečnostní společnosti Check Point Software Technologies.
Skrytá hrozba
Check Point odhalil na GitHubu škodlivé repozitáře, které zdánlivě nabízejí mody pro Minecraft. Na první pohled vypadají soubory legitimně a cílí na hráče, kteří hledají nové nástroje a vylepšení. Ve skutečnosti však obsahují Java downloader, který v tichosti nainstaluje do zařízení oběti další škodlivý software. Malware se tak schová mezi ostatní mody, což ztěžuje jeho detekci uživatelům i mnoha bezpečnostním řešením a zvyšuje se pravděpodobnost stažení a instalace.
Škodlivé repozitáře
„O útočníkovi nebo útočnících máme jen omezené informace. Zdá se, že aktivita odpovídá časovému pásmu UTC+3 a některé soubory obsahují komentáře v ruštině, což naznačuje rusky mluvící původ,“ dodává odborník na kybernetickou bezpečnost Jaromír Hořejší.
V první fázi útoku si hráč stáhne zdánlivě neškodný mod Minecraftu z GitHubu. Po spuštění hry mod zkontroluje, zda se nenachází ve virtuálním prostředí, což je běžný přístup používaný bezpečnostními výzkumníky a sandboxy ke spouštění vzorků v izolovaném prostředí. Pokud není detekováno žádné virtuální prostředí ani analytické nástroje, pokračuje útok do další fáze. Pokud by hrozba zjistila, že je analyzována, škodlivé aktivity se nespustí, čímž se předejde odhalení.
Mod následně stáhne další škodlivý kód, který krade citlivé informace. V poslední fázi je použit pokročilý špehovací nástroj schopný krást přihlašovací údaje z webových prohlížečů, kryptoměnových peněženek a aplikací, jako jsou Discord, Steam a Telegram. Může také pořizovat snímky obrazovky a shromažďovat podrobné informace o infikovaném systému.
„Ukradená data jsou nepozorovaně odesílána přes Discord, což je taktika, která umožňuje aktivitě splynout s legitimním provozem. Na základě informací z infrastruktury útočníka odhadujeme, že už mohlo být napadeno více než 1 500 zařízení,“ varuje expert Jaromír Hořejší.
Nebezpečné mody
Zamaskováním malwaru do modů pro Minecraft mohou kyberzločinci nenápadně zaútočit na aktivní a nic netušící uživatele. Soubory často vypadají neškodně a dokáží obejít tradiční obranné mechanismy, takže nikdo není v bezpečí.
Videoherní průmysl neustále roste a je tak stále častěji v hledáčku kyberzločinců. Je důležité pečlivě zvážit stahování obsahu třetích stran, a to i z důvěryhodných platforem.
Řešení Check Point Threat Emulation a Harmony Endpoint poskytují úplnou ochranu i proti technikám a malwaru použitým v této kampani a chrání uživatele i organizace.
