Gli esperti di Check Point Research hanno scoperto una campagna malware su larga scala, effettuata da Stargazers Ghost Network, che prende di mira le mod di Minecraft, popolare gioco sviluppato da Mojang Studios (acquisita da Microsoft nel 2014). L’obiettivo dei cybercriminali è rubare i dati dei giocatori attraverso infostealer.
Descrizione della tecnica e del malware
Stargazers Ghost Network è un DaaS (Distribution as a Service) che sfrutta GitHub per ingannare gli utenti e infettare i dispositivi. Oltre al gioco originale esistono numerose versione modificate (mod) di Minecraft che migliorano l’esperienza di gioco con grafica migliore e contenuti aggiuntivi.
Stargazers ha creato circa 500 repository su GitHub per distribuire presunte mod di Minecraft. Sembrano legittime perché hanno ricevuto oltre 700 stelle GitHub da circa 70 account, ma in realtà è tutto fasullo. Nei repository ci sono file JAR che, quando installati, avviano la catena di infezione multi-stadio.
Il primo stadio è un loader Java che, quando eseguito all’avvio del gioco, termina i processi associati a macchine virtuali e scarica un infostealer Java da Pastebin. Quest’ultimo ruba i token dell’account Minecraft, oltre a quelli di Telegram e Discord. Successivamente viene scaricato un secondo infostealer .NET più “tradizionale”. Il malware ruba le credenziali memorizzate nei browser, quelle dei wallet di criptovalute e altre app, tra cui Telegram, FileZilla e VPN.
Sono inoltre raccolte informazioni sul computer, il contenuto della clipboard e scattato uno screenshot. I dati vengono infine esfiltrati tramite webhook Discord. Gli utenti devono scaricare le mod solo da fonti affidabili e usare un account diverso da quello principale per testare queste versioni modificate del gioco.
Ti potrebbe interessare
20 giu 2025