黑客锁定游戏玩家的情况不时有事故传出,最近有一起专门针对知名游戏Minecraft玩家的攻击行动,引起研究人员高度关注。
安全企业Check Point披露专门锁定Minecraft玩家的多阶段攻击行动,黑客使用名为Stargazers Ghost Network恶意软件分派服务(Distribution as a Service,DaaS),假借Oringo和Taunahi等Minecraft修改模块(Mod)传播恶意软件,从而窃取计算机机密敏感数据。
特别的是,黑客的第一阶段恶意程序下载工具与第二阶段的盗取信息软件存在公用点,它们都是以Java打造而成,而且必须依赖受害计算机的Minecraft游戏主程序才能运行。第三与最终阶段的恶意程序皆为.NET盗取信息软件,原因是黑客开发了额外的功能。
研究人员从今年3月开始发现专门锁定Minecraft玩家的恶意GitHub存储库,这些存储库存放Java下载工具,而且杀毒引擎都不会将这些工具视为有害。而这些存储库都号称提供Minecraft修改工具,并拥有许多用户给星星而看起来像是合法。
这些存储库都存放了恶意JAR文件,黑客将其命名称作弊或是自动化工具。研究人员将这些JAR文件上传恶意软件分析平台VirusTotal,结果没有杀毒引擎发现有异。
针对恶意软件的感染流程,在用户依照指示下载并安装JAR文件之后,一旦他们开始执行Minecraft,此作弊模块就会下载第二阶段的盗取信息软件,而后该恶意程序又会下载另一个.NET盗取信息软件,但为何黑客要先后使用两个不同的盗取信息软件,研究人员并未说明。
附带一提,黑客为了防范研究人员分析,这些修改模块执行的过程里,会先侦测受害计算机的环境其中,是否存在VMware、VirtualBox、KVM、QEMU等虚拟机相关组件,以及Wireshark、TCPView等网络分析工具,若是发现有这些软件,修改模块就会终止运行。
对于攻击者的身份,研究人员表示他们掌握的资讯并不多,但黑客不仅在部分文件使用俄文,所有文件的提交都来自UTC+3时区,因此研究人员研判攻击者可能来自俄罗斯。
