Carder.life

Carder.life (http://txgate.io:443/index.php)
-   Новости мирового кардинга (http://txgate.io:443/forumdisplay.php?f=18)
-   -   Более 1500 игроков Minecraft скачали с GitHub вредоносные читы (http://txgate.io:443/showthread.php?t=51301558)

Artifact 06-19-2025 06:10 PM
<div id="post_message_798157">

Аналитики Check Point обнаружили <a href="https://research.checkpoint.com/2025/minecraft-mod-malware-stargazers/" target="_blank">масштабную кампанию</a> по распространению малвари, направленную на игроков Minecraft. Вредоносные моды и читы заражают устройства под управлением Windows стилерами, которые воруют учетные данные, токены аутентификации и криптовалюту.<br/>
<br/>
Исследователи обратили внимание на тысячи просмотров ссылок на Pastebin, которые использовались злоумышленниками для доставки полезных нагрузок, что свидетельствует о масштабности этой кампании.<br/>
<br/>
Эти атаки специалисты связывают с Stargazers Ghost Network — сервисом для распространения вредоносного ПО, который маскирует свою деятельность с помощью множества якобы легитимных репозиториев на GitHub. Напомним, что об этом сервисе и стоящей за ним группировкой Stargazer Goblin эксперты <a href="https://xakep.ru/2024/07/25/stargazers-ghost-network/" target="_blank">подробно рассказывали </a>ранее.<br/>
<br/>
В 2024 году было выявлено более 3000 аккаунтов на GitHub, через которые доставлялись инфостилеры, а позже исследователи связали Stargazers Ghost Network с распространением малвари <a href="https://xakep.ru/2024/11/29/godloader-godot/" target="_blank">GodLoader</a>, заразившей более 17 000 систем всего за три месяца.<br/>
<br/>
Новая вредоносная кампания нацелена на игроков Minecraft и распространяет среди них Java-малварь, которую пока практически не обнаруживают антивирусы. Исследователи нашли на GitHub множество репозиториев злоумышленников, замаскированных под моды и читы для Minecraft (Skyblock Extras, Polar Client, FunnyMap, Oringo и Taunahi). По оценкам исследователей, жертвами этих атак могли стать более 1500 пользователей.<br/>
<br/>
<img alt="" border="0" class="bbCodeImage" src="https://xakep.ru/wp-content/uploads/2025/06/522442/fake-minecraft-mods.jpg"/><br/>
<div style="margin:20px; margin-top:5px; ">
<!-- <div class="smallfont" style="margin-bottom:2px">Quote:</div> -->
<table border="0" cellpadding="6" cellspacing="0" width="100%">
<tr>
<td class="alt2" style="background: rgb(37, 37, 37) none repeat scroll 0% 0%; border: 1px solid rgb(0, 0, 0); border-radius: 5px; font-size: 11px; text-shadow: none;">

Вредоносные репозитории

</td>
</tr>
</table>
</div><div style="margin:20px; margin-top:5px; ">
<!-- <div class="smallfont" style="margin-bottom:2px">Quote:</div> -->
<table border="0" cellpadding="6" cellspacing="0" width="100%">
<tr>
<td class="alt2" style="background: rgb(37, 37, 37) none repeat scroll 0% 0%; border: 1px solid rgb(0, 0, 0); border-radius: 5px; font-size: 11px; text-shadow: none;">
<font size="3">«Мы выявили около 500 репозиториев GitHub, включая форкнутые или скопированные, которые были частью этой кампании. Также мы обнаружили около 700 [фальшивых] звезд, оставленных примерно 70 аккаунтами», — рассказывают эксперты.</font>
</td>
</tr>
</table>
</div>На первом этапе атаки, после выполнения в Minecraft, JAR-загрузчик использует закодированный base64 URL-адрес и загружает следующий этап с Pastebin, что в итоге приводит к скачиванию основанного на Java стилера.<br/>
<br/>
Этот вредонос стремится похитить токены учетных записей Minecraft и пользовательские данные из лаунчера Minecraft, а также популярных сторонних лаунчеров, включая Feather, Lunar и Essential. Также он пытается украсть токены Discord и Telegram, а затем отправляет собранные данные через POST-запросы на сервер атакующих.<br/>
<br/>
Помимо этого Java-стилер служит загрузчиком для другого стилера на базе .NET, который называется 44 CALIBER и представляет собой более «традиционную» версию такой малвари. 44 CALIBER старается похитить информацию из браузеров, данные из VPN-аккаунтов, криптовалютных кошельков, Steam, Discord и других приложений. Также второй стилер собирает системную информацию, данные буфера обмена и может делать скриншоты машины жертвы.<br/>
<br/>
<img alt="" border="0" class="bbCodeImage" src="https://xakep.ru/wp-content/uploads/2025/06/522442/chain.jpg"/><br/>
<div style="margin:20px; margin-top:5px; ">
<!-- <div class="smallfont" style="margin-bottom:2px">Quote:</div> -->
<table border="0" cellpadding="6" cellspacing="0" width="100%">
<tr>
<td class="alt2" style="background: rgb(37, 37, 37) none repeat scroll 0% 0%; border: 1px solid rgb(0, 0, 0); border-radius: 5px; font-size: 11px; text-shadow: none;">

Схема атаки

</td>
</tr>
</table>
</div><div style="margin:20px; margin-top:5px; ">
<!-- <div class="smallfont" style="margin-bottom:2px">Quote:</div> -->
<table border="0" cellpadding="6" cellspacing="0" width="100%">
<tr>
<td class="alt2" style="background: rgb(37, 37, 37) none repeat scroll 0% 0%; border: 1px solid rgb(0, 0, 0); border-radius: 5px; font-size: 11px; text-shadow: none;">
<font size="3">«После деобфускации мы наблюдали, что он похищает различные учетные данные из браузеров (Chromium, Edge, Firefox), определенные файлы (Desktop, Documents, %USERPROFILE%/Source), информацию криптовалютных кошельков (Armory, AtomicWallet, BitcoinCore, Bytecoin, DashCore, Electrum, Ethereum, LitecoinCore, Monero, Exodus, Zcash, Jaxx), данные VPN (ProtonVPN, OpenVPN, NordVPN), а также Steam, Discord, FileZilla, Telegram», — предупреждают исследователи.</font>
</td>
</tr>
</table>
</div>Украденная информация передается через веб-хуки Discord, сопровождаемые комментариями на русском языке. Это, а также временные метки коммитов в часовом поясе UTC+3, позволяет предположить, что за этой кампанией стоят русскоязычные операторы.<br/>
<br/>
<a href="https://xakep.ru/2025/06/19/stargazers-ghost-network-minecraft/" target="_blank">@ xakep.ru</a>
</div>


All times are GMT. The time now is 08:57 AM.

Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2025, vBulletin Solutions, Inc.