Credit image: Freepix
Stargazer Curi Password Gamer dengan Mod Minecraft Palsu – Sebuah operasi malware berskala besar secara khusus menargetkan pemain Minecraft dengan mod dan cheat berbahaya yang menginfeksi perangkat Windows dengan infostealer yang mencuri kredensial, token otentikasi, dan dompet cryptocurrency.
Operasi yang ditemukan oleh para peneliti ini, dilakukan oleh Stargazers Ghost Network dan memanfaatkan ekosistem modding Minecraft yang masif serta layanan sah seperti GitHub untuk menjangkau audiens target yang luas.
Para peneliti telah melihat ribuan tampilan, atau kunjungan, pada tautan Pastebin yang digunakan oleh pelaku ancaman untuk mengirimkan payload ke perangkat target, menunjukkan jangkauan luas dari kampanye ini.
|
Baca juga: Ini yang Dibutuhkan Para Gamer |
Malware Minecraft yang Tersembunyi
Stargazers Ghost Network adalah operasi distribution-as-a-service (DaaS) yang aktif di GitHub sejak tahun lalu, pertama kali didokumentasikan saat dalam sebuah operasi yang melibatkan 3.000 akun yang menyebarkan infostealer.
Operasi yang sama, yang ditingkatkan dengan bintang GitHub palsu, diamati menginfeksi lebih dari 17.000 sistem pada akhir tahun 2024 dengan malware berbasis Godot yang baru.
Dengan operasi terbaru diketahui Stargazer menargetkan Minecraft dengan malware Java yang menghindari deteksi oleh semua mesin antivirus.
Para peneliti menemukan beberapa repositori GitHub yang dijalankan oleh Stargazers, disamarkan sebagai mod dan cheat Minecraft seperti Skyblock Extras, Polar Client, FunnyMap, Oringo, dan Taunahi.
Peneliti setidaknya telah mengidentifikasi sekitar 500 repositori GitHub, termasuk yang di-fork atau disalin, yang merupakan bagian dari operasi ini yang ditujukan untuk pemain Minecraft. Mereka juga telah melihat 700 bintang yang dihasilkan oleh sekitar 70 akun.
Setelah dieksekusi di dalam Minecraft, loader JAR tahap pertama mengunduh tahap berikutnya dari Pastebin menggunakan URL yang dikodekan Base64, mengambil stealer berbasis Java.
|
Baca juga: Bahaya Microtransaction Bagi Gamer |
Mencuri Berbagai Kredensial
Stealer ini menargetkan token akun Minecraft dan data pengguna dari launcher Minecraft serta launcher pihak ketiga populer seperti Feather, Lunar, dan Essential.
Ia juga mencoba mencuri token akun Discord dan Telegram, mengirimkan data yang dicuri melalui permintaan HTTP POST ke server penyerang.
Stealer Java juga berfungsi sebagai loader untuk tahap berikutnya, yaitu stealer berbasis .NET yang disebut ’44 CALIBER,’ yang merupakan infostealer yang lebih “tradisional”, mencoba mengambil informasi yang tersimpan di peramban web, data akun VPN, dompet cryptocurrency, Steam, Discord, dan aplikasi lainnya.
44 CALIBER juga mengumpulkan informasi sistem dan data clipboard, dan dapat mengambil screenshot dari komputer korban. Setelah deobfuscasi, ia juga mencuri berbagai kredensial dari:
- Peramban (Chromium, Edge, Firefox).
- File (Desktop, Documents, %USERPROFILE%/Source).
- Dompet Cryptocurrency (Armory, AtomicWallet, BitcoinCore, Bytecoin, DashCore, Electrum, Ethereum, LitecoinCore, Monero, Exodus, Zcash, Jaxx).
- VPN (ProtonVPN, OpenVPN, NordVPN).
- Steam.
- Discord.
- FileZilla.
- Telegram.
Para peneliti memperingatkan. Data yang dicuri dieksfiltrasi melalui webhook Discord, disertai dengan komentar berbahasa Rusia. Petunjuk ini, dikombinasikan dengan stempel waktu commit UTC+3, menunjukkan bahwa operator kampanye ini adalah orang Rusia.
Saran Keamanan
Untuk mengatasi ancaman seperti ini di masa depan, ada beberapa saran atau langkah-langkah keamanan yang dapat dilakukan, sebagai berikut:
- Pengguna Microsoft harus hanya mengunduh mod dari platform terkemuka dan portal komunitas terverifikasi dan berpegang pada penerbit tepercaya.
- Jika diminta untuk mengunduh dari GitHub, periksa jumlah bintang, fork, dan kontributor, teliti commit untuk tanda-tanda aktivitas palsu, dan periksa tindakan terbaru di repositori.
- Dan terakhir, bijaksana untuk menggunakan akun Minecraft “sekunder” yang terpisah saat menguji mod dan menghindari masuk ke akun utama Anda.
Sumber berita:
