Зловмисне програмне забезпечення Fractureiser

Дослідники кібербезпеки виявили загрозу зловмисного програмного забезпечення, націлену на ігрову спільноту. Шкідлива програма відстежується як Fractureiser і була знайдена в модах для дуже популярної відеогри Minecraft. Шкідливі модифікації, що містять Fractureiser, були виявлені в модифікаціях, отриманих із таких популярних платформ, як CurseForge і dev.bukkit.org. В якості запобіжного заходу гравцям настійно не рекомендується завантажувати будь-які нові файли .jar із цих веб-сайтів. Дуже важливо проявляти обережність і надавати пріоритет безпеці ігрових систем, утримуючись від доступу до потенційно інфікованих модів.

Зловмисне програмне забезпечення Fractureiser є багатоетапною загрозою

Кілька невинних на вигляд шкідливих модів і плагінів спочатку були завантажені творцем зловмисного програмного забезпечення на веб-сайт розміщення модів CurseForge і центр плагінів dev.craftbukkit.org. Зловмисне програмне забезпечення проходить кілька етапів і виконує послідовний процес, де кожен етап відповідає за завантаження та виконання наступного. На даний момент є три визначені етапи із зараженими файлами модифікації Minecraft, які діють як початковий етап 0 для ініціювання всього процесу.

Етап 3 є центральним компонентом зловмисного програмного забезпечення, демонструючи низку шкідливих дій. Докази вказують на те, що Fractureiser намагається:

• Поширюється на всі файли .jar у системі, потенційно заражаючи моди, отримані не з CurseForge, BukkitDev чи інших програм Java.
• Збирайте інформацію для входу та файли cookie з різних веб-браузерів.
• Замініть адреси криптовалюти, що зберігаються в буфері обміну, альтернативними адресами, які, імовірно, контролюються зловмисником.
• Зберіть облікові дані Discord.
• Зберіть облікові дані, пов’язані з обліковими записами Microsoft і Minecraft.
• Враховуючи його поведінку, ми маємо вагомі ознаки того, що ця цілеспрямована атака спрямована саме на модифіковану екосистему Minecraft, що означає значну загрозу.

До подальшого повідомлення користувачам необхідно проявляти максимальну обережність під час завантаження модів Minecraft, незалежно від їх походження. Незважаючи на те, що контрольний сервер для цього зловмисного програмного забезпечення виглядає офлайн, будь-які завантаження з CurseForge або сховища плагінів Bukkit протягом зазначеного періоду часу слід розглядати як потенційно загрозливі.

Як впоратися з підозрою, що ваш пристрій заражено шкідливим програмним забезпеченням Fractureiser?

Слід проявляти граничну обережність, поки не буде знайдено повний спосіб усунути будь-які симптоми. Якщо в системі знайдено файли етапу 2 від Fractureiser, дуже ймовірно, що код етапу 3 запустився та заразив машину. Найкращий варіант – припустити, що все в цих системах повністю скомпрометовано. Настійно рекомендується наступні кроки:

• Резервне копіювання відповідних даних на флешку або зовнішній диск.
• Використовуючи окремий пристрій, користувачі повинні змінити паролі до всіх служб, у які вони входили на старій машині (Discord, електронна пошта тощо), бажано використовуючи менеджер паролів.
• Якщо користувачі ще не використовували двофакторну автентифікацію (додаток Authenticator або SMS) для кожної служби, яка її підтримує, їм слід почати робити це негайно.
• Якщо можливо, скористайтеся професійною службою кібербезпеки, щоб перевірити машини на наявність будь-яких підозрілих предметів. Крім того, як безпечне за замовчуванням користувачі можуть вибрати стерти та перевстановити систему.

Загалом, ігрові модифікації зазвичай створюються ентузіастами та доступні на незалежних платформах. Отже, розробники ігор не несуть відповідальності за їх безпеку та не можуть забезпечити їх безпечне використання. Тому користувачам бажано завантажувати модифікації ігор на комп’ютери, оснащені рішенням безпеки.