miércoles, 7 de junio de 2023

El nuevo malware Fractureiser usó mods CurseForge Minecraft para infectar Windows, Linux

Los piratas informáticos utilizaron las populares plataformas de modificación de Minecraft Bukkit y CurseForge para distribuir un nuevo malware de robo de información 'Fractureiser' a través de modificaciones cargadas e inyectando código malicioso en proyectos existentes.

Según  varios informes , el ataque comenzó cuando varias cuentas de CurseForge y Bukkit se vieron comprometidas y se usaron para inyectar código malicioso en complementos y mods, que luego fueron adoptados por modpacks populares como 'Better Minecraft', que tiene más de 4.6 millones de descargas.

En particular, muchos de los modpacks afectados se vieron comprometidos a pesar de que supuestamente estaban protegidos por autenticación de dos factores. Al mismo tiempo, las actualizaciones se archivaron de inmediato para que no aparecieran en público, pero no obstante se enviaron a los usuarios a través de la API.

Pío

Se ha confirmado que los siguientes mods y modpacks están afectados por el malware Fractureiser:

Forja de la maldición:

  • Surgen las mazmorras
  • Pueblos del cielo
  • Mejor serie MC modpack
  • Fabulosamente optimizado (se encontró que no está comprometido)
  • Mazmorra
  • Núcleo Skyblock
  • Integraciones de bóveda
  • Transmisión automática
  • Conservador de museo avanzado
  • Corrección de errores de integraciones de Vault
  • Create Infernal Expansion Plus - Mod eliminado de CurseForge

Bukkit :

  • Editor de entidades de visualización
  • Refugio Elytra
  • El editor de entidades personalizadas del evento Nexus
  • Cosecha sencilla
  • MCRecompensas
  • Alimentos fáciles de personalizar
  • Compatibilidad con Bungeecord antispam de comando
  • Nivelación definitiva
  • Choque contra Redstone
  • Hidratación
  • Complemento de permiso de fragmento
  • Sin VPN
  • Ultimate Títulos Animaciones Gradiente RGB
  • Daños flotante

Los jugadores afectados incluyen aquellos que descargaron mods o complementos de CurseForge y dev.bukkit.org en las últimas tres semanas, pero aún no se ha apreciado completamente el alcance de la infección.

La descarga y ejecución de un mod infectado desencadena una cadena de compromiso en todos los mods de la computadora infectada.

Luna Pixel Studios informó en Discord que uno de sus desarrolladores probó un mod infectado, lo que resultó en un compromiso de la cadena de suministro que también afectó a sus modpacks.

Los jugadores de Minecraft deben evitar usar el iniciador de CurseForge o descargar cualquier cosa de los repositorios de complementos de CurseForge o Bukkit hasta que la situación se aclare.

Detalles del malware Fractureiser

Un  informe técnico  de Hackmd arrojan más luz sobre el malware Fractureiser y explican que el ataque se llevó a cabo en cuatro etapas, a saber, las etapas 0, 1, 2 y 3.

La "Etapa 0" es el vector de ataque inicial, cuando se cargan nuevos mods o se secuestran mods legítimos para incluir una nueva función maliciosa al final de la clase principal del proyecto. 

Código malicioso inyectado en mods cargados Código malicioso inyectado en mods cargados

Cuando se ejecuta la función, se realizará una conexión a la URL http://85.217.144[.]130:8080/dl y se descargará un archivo llamado dl.jar, que luego se ejecutará como una nueva clase de utilidad.

Hackmd dice que la clase tendrá argumentos de cadena específicos para cada mod comprometido.

Cuando se ejecuta dl.jar, el malware se conecta a https://files-8ie.pages.dev/ip y recupera una dirección IP para el servidor de comando y control del atacante.

Clase de utilidad maliciosa en dl.jar Clase de utilidad maliciosa en dl.jar

Hackmd dice que el malware también se conectará a esa dirección IP en el puerto 8083 para descargar un archivo y guardarlo como "%LOCALAPPDATA%\Microsoft Edge\libWebGL64.jar" (Windows) o "~/.config/.data/lib.jar "(Linux).

Luego, el malware configurará el archivo JAR para que se inicie automáticamente en Windows configurando una entrada de inicio automático en la clave de registro 'Ejecutar'. Para Linux, creará un nuevo servicio en /etc/systemd llamado 'systemd-utility.service'.

Llib.jar o libWebGL64.jar es un cargador ofuscado para Windows y Linux que se cree que descarga una carga útil adicional llamada 'client.jar' [ VirusTotal ].

El ejecutable client.jar es "Etapa 3" y es una mezcla altamente ofuscada de Java y código nativo de Windows en la forma de un malware de robo de información llamado hook.dll.

Los investigadores afirman que el malware de robo de información Fractureiser es capaz de:

  • auto propagarse a todos los archivos .jar en el sistema de archivos inyectando "Etapa 0" en ellos,
  • robar cookies y credenciales de cuentas almacenadas en los navegadores web,
  • reemplazar las direcciones de billetera de criptomonedas copiadas en el portapapeles del sistema,
  • robar las credenciales de la cuenta de Microsoft,
  • robar las credenciales de la cuenta de Discord,
  • robar las credenciales de la cuenta de Minecraft de una variedad de lanzadores.

El malware también creará un acceso directo de Windows que hace que se ejecute un script en http://85.217.144[.130/script cuando se inicia Windows.

Acceso directo de Windows creado por el malware Fractureiser Acceso directo de Windows creado por el malware Fractureiser

Este script comprobará si Java está instalado y, en caso contrario, lo descargará desde azul.com. Luego, el script volverá a descargar el archivo dl.jar en %temp%\installer.jar y lo ejecutará, lo que probablemente implementará nuevas actualizaciones de malware a medida que se publiquen.

Descargar script para actualizar malware Descargar script para actualizar malware

¿Qué deben hacer los jugadores de Minecraft?

Siempre se recomienda a los jugadores de Minecraft que usan mods que tengan mucho cuidado al descargarlos, pero aún más ahora que esta campaña de Fractureiser está activa.

Aquellos que temen que Fractureiser pueda haberlos infectado pueden usar scripts de escaneo ( obtener para Windowsobtener para Linux ) proporcionados por la comunidad para verificar si hay signos de infección en su sistema.

El script de verificación para Windows El script de verificación para Windows (prismlauncher.org)
 

Las comprobaciones manuales que indican una infección incluyen la presencia de los siguientes archivos o claves del Registro de Windows:

  • Entradas inusuales en la clave de registro 'HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run'. Los usuarios de Windows pueden usar el Editor del Registro para ver estas entradas o la pestaña Inicio en el Administrador de tareas.
  • Un acceso directo en %AppData%\Microsoft\Windows\Start Menu\Programs\Startup', como se describe a continuación.
  • El archivo ~/.config/.data/lib.jar en Linux.
  • Los archivos %LOCALAPPDATA%\Microsoft Edge\libWebGL64.jar o ~\AppData\Local\Microsoft Edge\libWebGL64.jar (en Windows).
  • Servicios inusuales de Systemd en /etc/systemd/system. Es probable que se llame 'systemd-utility.service'.
  • Un archivo en %Temp%\installer.jar.

Todavía queda mucho por conocer sobre el malware Fractureiser, por lo que es posible que se agreguen nuevos indicadores de compromiso en el futuro.

A medida que avanza el día, más motores antivirus comenzarán a detectar los ejecutables de Java maliciosos. Por lo tanto, si escanea su computadora y no encuentra nada, se recomienda encarecidamente que realice escaneos más tarde durante el día.

Además, si está infectado, debe limpiar su computadora, idealmente reinstalando el sistema operativo, y luego cambiar a contraseñas únicas en todas sus cuentas. Al cambiar las contraseñas, concéntrese en las cuentas confidenciales, como cuentas criptográficas, correo electrónico, cuentas bancarias y otras susceptibles para el fraude.

Ir al Inicio

a la/s