Эксперт в области кибербезопасности Эрик Паркер представил детальный анализ новой схемы воздействия на системы, ориентированной на фанатов Minecraft. Злоумышленники применяют комбинацию из на вид легально выглядящей модификации и вредоносного ресурс-пака для получения полного контроля над компьютерами пользователей.
В últем времени участились случаи, когда в среде игроков Minecraft через текстовые каналы Discord распространяют предложения протестировать новые серверы. Для подключения к таким серверам пользователям предлагают установить модификацию QualityCraft, размещенную на известной платформе CurseForge. Этот мод в начальном состоянии не ведет к вредоносным действиям, что позволяет ему успешно проходить автоматические проверки на крупных игровых ресурсах.
Главная угроза заключается в том, что модификация QualityCraft создает уязвимость удаленного выполнения кода в клиенте игры. Она нацелена на поиск скрытых данных в загружаемых ресурс-паках. После подключения к целевому серверу игроку предлагается автоматически скачать и установить уникальный серверный ресурс-пак. На чистой версии игры данный пак является безвредным, но в сочетании с QualityCraft активируется скрытый процесс.
Малопримечательный код, запрятанный вне стандартного заголовка архива ресурс-пака, извлекается модификацией и запускает последовательность выполнения через сценарии VBScript. Это инициирует загрузку и почти незаметное выполнение командного файла update.bat, который в свою очередь загружает обратную оболочку rev.bat. Во время анализа специалист зафиксировал установки троянов удаленного доступа, включая вредоносные программы Quasar RAT и PureHVNC, а также ПО для кражи личной информации и паролей.
Исследователь отмечает, что злоумышленники ведут себя вполне дружелюбно в переписке. Когда жертва начинает сомневаться в добром намерении или отказывается устанавливать мод, они продолжают общение, стараясь завоевать доверие и предложить альтернативные совместные развлечения. Это помогает снизить бдительность конечного пользователя и в итоге заставить его открыть вредоносный файл. На момент публикации видео антивирусные механизмы системы Windows и встроенный Windows Defender слабо распознавали угрозу, так как большая часть вредоносной активности разбросана по разным этапам загрузки.
Поскольку вредоносная цепочка активируется только при совместном наличии модификации и загрузки ресурс-пака с зараженного сервера, установка либо лишь модификации, либо только ресурс-пака не причинит вреда системе. Игроки, столкнувшиеся с этой проблемой после загрузки и мода, и ресурс-пака, должны тщательно проверить реестр автозагрузки с помощью специализированных утилит, таких как Autoruns, или рассмотреть возможность полной переустановки операционной системы. Имена создаваемых вредоносных файлов фиксированы и не подвергаются рандомизации, что упрощает их обнаружение по названиям, вроде WidgetService.exe.