Beta
Платформа Киберспорт.рф в бета-тестировании — возможны ошибки, часть функций дорабатываетсяПодробнее →Платформа Киберспорт.рф в бета-тестировании — возможны ошибки, часть функций дорабатываетсяПодробнее →
cs2

Обнаружена сложная схема заражения компьютеров через серверы и модификации для Minecraft

Автор: PlayGround.ru

Обнаружена сложная схема заражения компьютеров через серверы и модификации для Minecraft

Специалист по информационной безопасности Эрик Паркер опубликовал подробный разбор новой схемы компрометации систем, нацеленной на игроков в Minecraft. Злоумышленники используют связку из легитимно выглядящей модификации и вредоносного ресурс-пака, чтобы получить полный контроль над компьютерами жертв.

В последнее время среди сообщества игроков Minecraft участились случаи, когда через текстовые каналы Discord пользователям предлагают протестировать работу новых серверов. Для подключения к такому серверу организаторы просят установить специальную модификацию QualityCraft, размещенную на популярной платформе CurseForge. Изначально этот мод не совершает вредоносных действий в системе, из-за чего он легко проходит автоматическую модерацию на крупных игровых ресурсах.

Суть угрозы заключается в том, что модификация QualityCraft добавляет в клиент игры уязвимость удаленного выполнения кода. Она запрограммирована на поиск скрытых данных в файлах загружаемых ресурс-паков. Когда игрок подключается к целевому серверу, ему автоматически предлагается скачать и применить уникальный серверный ресурс-пак. На чистой версии игры без установленного мода этот ресурс-пак абсолютно безвреден, однако при наличии QualityCraft запускается скрытый процесс.

Вредоносный код, спрятанный за пределами стандартного заголовка архива ресурс-пака, извлекается модификацией и запускает цепочку исполнения через сценарии VBScript. Это приводит к загрузке и незаметному выполнению командного файла update.bat, который в свою очередь скачивает обратную оболочку rev.bat. На этапе анализа специалист зафиксировал установку троянов удаленного доступа, включая вредоносное программное обеспечение Quasar RAT и PureHVNC, а также программу для кражи персональных данных и паролей.

Исследователь отмечает, что организаторы атаки ведут себя дружелюбно в личной переписке. В случае, если жертва начинает подозревать обман или отказывается устанавливать мод, злоумышленники продолжают общение, стараясь втереться в доверие и предложить другие совместные игры. Таким образом они пытаются снизить бдительность пользователя, чтобы в конечном итоге заставить его запустить вредоносный файл. На момент публикации видео защитные механизмы операционной системы Windows и встроенный антивирус Windows Defender слабо детектировали угрозу, поскольку основная часть вредоносной активности распределена между различными этапами загрузки.

Поскольку вредоносная цепочка срабатывает только при одновременном наличии модификации и скачивании ресурс-пака с зараженного сервера, установка только модификации или только ресурс-пака по отдельности не нанесет вреда системе. Игрокам, которые столкнулись с подобной проблемой и загрузили и модификацию, и ресурс-пак, рекомендуется тщательно проверить реестр автозагрузки с помощью специализированных утилит, таких как Autoruns, или выполнить полную переустановку операционной системы. Имена создаваемых вредоносных файлов в системе не рандомизируются, что облегчает их обнаружение по названиям, таким как WidgetService.exe.

Генерация саммари...