Jogadores de Minecraft estão sob ataque

Os mods do Minecraft baixados de vários sites de jogos populares contêm malware perigoso. Eis o que sabemos até agora.

A comunidade de jogos tem comentado bastante sobre as notícias envolvendo o malware fractureiser (fraturador, em tradução livre), encontrado em mods para Minecraft. Ele foi baixado por meio dos sites CurseForge e dev.bukkit.org. A recomendação é que os jogadores não façam download de novos arquivos .jar a partir deles. Qualquer pessoa que tenha feito isso recentemente deve verificar seus computadores com soluções antimalware. O malware afeta os usuários de versões do jogo para Windows e Linux (parece que os de outros sistemas operacionais estão seguros).

Como o malware invadiu os mods

De acordo com a hipótese inicial, cibercriminosos desconhecidos comprometeram as contas dos desenvolvedores de mods no CurseForge.com e no dev.bukkit.org. Isso permitiu que eles espalhassem o código malicioso por meio de vários mods.

No entanto, os desenvolvedores do Prism Launcher suspeitam que alguém possa ter explorado uma vulnerabilidade desconhecida na plataforma Overwolf. Eles também postaram uma lista dos mods conhecidos por estarem infectados com o fractureiser.

O que é o malware ‘Fractureiser’ e o que ele faz?

Os entusiastas relatam que, após a instalação do mod comprometido, ao executar do jogo, o código malicioso faz o download e executa uma carga útil adicional do servidor remoto. Essa carga útil começa a criar pastas e scripts e faz alterações no registro do sistema para executar malware após uma reinicialização.

Pesquisadores independentes afirmam que, no estágio final do ataque, o malware tenta espalhar a infecção para todos os arquivos .jar no computador (supostamente tentando alcançar todos os downloads de mods feitos anteriormente). Esse malware também pode roubar arquivos de cookies e credenciais armazenadas nos navegadores. Além disso, é capaz de alternar endereços de criptocarteiras na área de transferência.

Sinais de infecção do Fractureiser

A discussão do Reddit concluiu que a presença do arquivo libWebGL64.jar pode ser considerada um sinal definitivo de infecção. O malware cria esse arquivo na pasta %LOCALAPPDATA%/Microsoft Edge/ ou /AppData/Local/Microsoft Edge/. Para encontrar este arquivo, você precisa ir ao menu “Opções de pasta” (via “Exibir”, depois “Opções” no Windows File Explorer) e ativar a opção “Mostrar arquivos, pastas e unidades ocultos” e desativar “Ocultar arquivos protegidos arquivos do sistema operacional” na guia “Visualizar”.

Como se manter protegido?

Se você joga Minecraft e usa modificações de terceiros, então provavelmente a primeira coisa que você deve fazer é verificar seu PC com um software antivírus confiável. Se a análise detectar e excluir o malware, é uma boa ideia alterar todas as senhas dos recursos online acessados ​​a partir deste computador.

Além disso, aconselhamos acompanhar as notícias sobre o caso e abster-se de instalar novos mods para Minecraft até que a situação seja resolvida (e não estamos falando apenas de mods baixados diretamente dos sites mencionados: seria prudente não os instalar por meio de terceiros). Mods, add-ons e plugins para outros jogos que são distribuídos da mesma forma não parecem ser afetados por este ataque. No entanto, se o canal de entrega estiver realmente comprometido, é possível que os invasores encontrem métodos alternativos de infecção e coloquem em risco os jogadores de outros jogos também.

Como regra geral, as modificações do jogo são desenvolvidas por usuários engajados e hospedadas em plataformas independentes. Portanto, os desenvolvedores de jogos não são responsáveis ​​por essas criações e não garantem a segurança de seu uso. Assim, é melhor baixar mods de jogos apenas para computadores com soluções de segurança instaladas.

Dicas