Les joueurs de Minecraft ont été avertis d’une campagne de logiciels malveillants en plusieurs étapes qui se propage rapidement et qui cible les modpacks et les plugins.
Dans un avertissement d’alerte élevée publié à 18h00 BST le 8 juin, la société de cybersécurité Bitdefender a fourni des détails sur la façon dont logiciel malveillant voleur d’informations nommé « Fractureiser » cible les utilisateurs du jeu multiplateforme populaire.
Les chercheurs ont déclaré que plusieurs comptes CurseForge et Bukkit ont été compromis et utilisés pour publier des mises à jour de mods et de plugins truquées par des logiciels malveillants à l’insu de l’auteur d’origine. Ces mods ont ensuite été inclus dans des modpacks populaires « qui ont été téléchargés plusieurs millions de fois à ce jour ».
Les mods sont des add-ons créés par l’utilisateur qui étendent le gameplay, dont les collections sont rassemblées et configurées sous la forme de modpacks. CurseForge et Bukkit sont deux des plus grands référentiels de mods Minecraft.
Le logiciel malveillant Fractureiser est téléchargé en quatre étapes, étiquetées de zéro à trois. La troisième étape apporte la charge utile finale sous la forme d’un fichier JAR qui inclut un binaire natif nommé hook.dll.
Il affecte actuellement les installations Linux et Windows Minecraft et tente de se propager à tous les fichiers JAR du système, y compris ceux qui ne font pas partie d’un mod Minecraft.
Lors de la modification du fichier, le logiciel malveillant peut cibler les victimes de différentes manières. Premièrement, il peut détourner les transactions de crypto-monnaie en échangeant les adresses de portefeuille avec les attaquants. Fractureiser peut également voler les cookies et les informations d’identification des utilisateurs des navigateurs Web et exfiltrer les jetons d’authentification pour Discord, Microsoft et Minecraft.
Bitdefender a mis en évidence « un comportement intéressant qui, selon nous, est destiné aux développeurs de mods ou de plugins ». En effet, le logiciel malveillant de troisième étape cible Windows Sandbox, le seul environnement de virtualisation qui permet de modifier le contenu du presse-papiers de l’hôte lorsque la machine virtuelle s’exécute en arrière-plan.
« Nous avons pu confirmer que des dizaines de mods et de plugins ont été truqués avec le malware », lit l’alerte, ajoutant que « l’écrasante majorité des victimes se trouvent aux États-Unis ».
La société a répertorié les mods concernés dans sa section des indicateurs de compromission et a exhorté les utilisateurs qui ont téléchargé les mods infectés à analyser leurs fichiers JAR.
Crédit image : KateV28 /Shutterstock.com