Вредоносное ПО Fractureiser

Исследователи кибербезопасности столкнулись с угрозой вредоносного ПО, нацеленной на игровое сообщество. Вредоносная программа отслеживается как Fractureiser и была обнаружена в модах для очень популярной видеоигры Minecraft. Вредоносные моды, содержащие Fractureiser, были обнаружены в модах, полученных с популярных платформ, таких как CurseForge и dev.bukkit.org. В качестве меры предосторожности геймерам настоятельно не рекомендуется загружать любые новые файлы .jar с этих веб-сайтов. Крайне важно проявлять осторожность и уделять первоочередное внимание безопасности игровых систем, воздерживаясь от доступа к потенциально зараженным модам.

Вредоносное ПО Fractureiser представляет собой многоступенчатую угрозу

Несколько безобидных на вид вредоносных модов и плагинов были первоначально загружены создателем вредоносного ПО на сайт CurseForge, где размещаются моды, и на хаб плагинов dev.craftbukkit.org. Вредоносная программа проходит несколько этапов и следует последовательному процессу, где каждый этап отвечает за загрузку и выполнение следующего. В настоящее время существует три идентифицированных этапа с зараженными файлами модов Minecraft, выступающими в качестве начального этапа 0 для запуска всего процесса.

Этап 3 служит центральным компонентом вредоносного ПО, демонстрируя ряд вредоносных действий. Доказательства указывают на попытки Fractureiser:

• Распространяется на все файлы .jar в системе, потенциально заражая моды, которые не были получены из CurseForge, BukkitDev или других программ Java.
• Собирать регистрационную информацию и файлы cookie из различных веб-браузеров.
• Заменить адреса криптовалюты, хранящиеся в буфере обмена, альтернативными адресами, предположительно контролируемыми злоумышленником.
• Соберите учетные данные Discord.
• Соберите учетные данные, связанные с учетными записями Microsoft и Minecraft.
• Учитывая его поведение, у нас есть убедительные признаки того, что эта целевая атака нацелена конкретно на модифицированную экосистему Minecraft, что означает серьезную угрозу.

До дальнейшего уведомления пользователям необходимо проявлять максимальную осторожность при загрузке модов Minecraft, независимо от их происхождения. Хотя управляющий сервер этой вредоносной программы отключен, любые загрузки из CurseForge или репозитория подключаемых модулей Bukkit в течение указанного периода времени следует рассматривать как потенциально опасные.

Как справиться с подозрением, что ваше устройство заражено вредоносным ПО Fractureiser?

Следует проявлять крайнюю осторожность, пока не будет найден полный способ устранения каких-либо симптомов. Если в системе обнаружены файлы этапа 2 от Fractureiser, весьма вероятно, что код этапа 3 был запущен и заразил машину. Лучший вариант — предположить, что все в этих системах полностью скомпрометировано. Настоятельно рекомендуется выполнить следующие шаги:

• Сделайте резервную копию соответствующих данных на флэш-накопителе или внешнем диске.
• Используя отдельное устройство, пользователи должны изменить пароли ко всем службам, в которые они вошли на старой машине (Discord, электронная почта и т. д.), желательно с помощью менеджера паролей.
• Если пользователи еще не использовали двухфакторную аутентификацию (приложение для аутентификации или SMS) для каждой службы, которая ее поддерживает, они должны начать делать это немедленно.
• Если возможно, используйте профессиональную службу кибербезопасности для сканирования компьютеров на предмет чего-либо подозрительного. В качестве альтернативы, в качестве безопасного варианта по умолчанию, пользователи могут стереть и переустановить систему.

Как правило, игровые моды создаются энтузиастами и доступны на независимых платформах. Следовательно, разработчики игр не несут ответственности за их безопасность и не могут обеспечить их безопасное использование. Поэтому пользователям рекомендуется загружать игровые моды на компьютеры, оснащенные защитным решением.