Una nueva campaña de malware de varias etapas está dirigida a usuarios de Minecraft con un malware basado en Java que emplea una proposición de distribución como servicio (DAAS) señal Stargazers Ghost Network.
“Las campañas dieron como resultado una esclavitud de ataque de varias etapas dirigidas específicamente a los usuarios de Minecraft”, dijeron los investigadores de Check Point Jaromír Hořejší y Antonis Terefos en un noticia compartido con Hacker News.
“El malware estaba hacerse producirse por Oringo y Taunahi, que son ‘Herramientas de scripts y macros’ (además conocidos como trucos). Tanto las etapas de la primera como la segunda se desarrollan en Java y solo se pueden ejecutar si el tiempo de ejecución de Minecraft se instala en la máquina host”.
El objetivo final del ataque es engañar a los jugadores para que descarguen un mod Minecraft de GitHub y entregar un robador de información .NET con capacidades integrales de robo de datos. La campaña fue detectada por primera vez por la compañía de seguridad cibernética en marzo de 2025.
Lo que hace que la actividad sea trascendental es su uso de una proposición ilícita señal Stargazers Ghost Network, que hace uso de miles de cuentas de Github para configurar repositorios contaminados que se disfrazan de software y trucos de juegos agrietados.
Terefos le dijo a The Hacker News que marcaron “aproximadamente 500 repositorios de GitHub, incluidos los que están bifurcados o copiados,” agregando “Igualmente hemos trillado 700 estrellas producidas por aproximadamente 70 cuentas”.
Estos repositorios maliciosos, disfrazados de modificaciones de Minecraft, sirven como un conducto para infectar a los usuarios del popular videojuego con un cargador Java (por ejemplo, “oringo-1.8.9.Jar”) que no se detectó por todos los motores antivirus a partir de la escritura.
Los archivos Java Archive (JAR) implementan técnicas simples anti-VM y anti-análisis para evitar los esfuerzos de detección. Su objetivo principal es descargar y ejecutar otro archivo JAR, un robador de segunda etapa que obtiene y ejecuta un robador de .NET como la carga útil final cuando la víctima inicia el diversión.
El componente de la segunda etapa se recupera de una dirección IP (“147.45.79.104”) que se almacena en el pastebin de formato codificado Base64, esencialmente convierte la utensilio de pasta en un resolución de caída muerta.
“Para amplificar modificaciones a un diversión de Minecraft, el agraciado debe copiar el archivo de jares ladino en la carpeta Minecraft Mods. Posteriormente de comenzar el diversión, el proceso de Minecraft cargará todos los mods de la carpeta, incluido el Solapado Mod, que descargará y ejecutará la segunda etapa”, dijeron los investigadores.
Por otra parte de descargar el robador .NET, el robador de la segunda etapa está equipado para robar tokens Discord y Minecraft, así como datos relacionados con el telegrama. El robador .NET, por otro flanco, es capaz de recoger credenciales de varios navegadores web y compendiar archivos, e información de billeteras de criptomonedas y otras aplicaciones como Steam, y Filezilla.
Igualmente puede tomar capturas de pantalla y acumular información relacionada con los procesos en ejecución, la dirección IP externa del sistema y el contenido del portapapeles. La información capturada finalmente se agrupa y se transmite al atacante a través de un webhook de Discord.
Se sospecha que la campaña es el trabajo de un actor de amenaza de deje rusa conveniente a la presencia de varios artefactos escritos en el idioma ruso y la zona horaria de los compromisos del atacante (UTC+03: 00). Se estima que más de 1,500 dispositivos pueden ocurrir caído víctimas del esquema.
“Este caso destaca cómo las comunidades de diversión populares pueden explotarse como vectores efectivos para la distribución de malware, enfatizando la importancia de la precaución al descargar contenido de terceros”, dijeron los investigadores.
“La red Stargazers Ghost ha estado distribuyendo activamente este malware, dirigido a los jugadores de Minecraft que buscaban modificaciones para mejorar su diversión. Lo que parecía ser descargas inofensivas fueron, de hecho, cargadores basados en Java que desplegaron dos robadores adicionales, capaces de exfiltrar credenciales y otros datos sensibles”.
Nuevas variantes de Kimjongrat Stealer detectados
El crecimiento se produce cuando Palo Stop Networks Unit 42 detalló dos nuevas variantes de un robador de información con nombre en código Kimjongrat que probablemente esté conectado con el mismo actor de amenaza de Corea del Meta detrás de Babyshark y Lapicero robado. Kimjongrat ha sido detectado en la naturaleza desde mayo de 2013, entregado como una carga útil secundaria en los ataques de Babyshark.
“Una de las nuevas variantes utiliza un archivo ejecutable portátil (PE) y el otro usa una implementación de PowerShell”, dijo el investigador de seguridad Dominik Reichel. “Las variantes PE y PowerShell se inician haciendo clic en un archivo de llegada directo (LNK) de Windows que descarga un archivo de goteo de una cuenta de entrega de contenido controlada por el atacante (CDN)”.
Mientras que el cuentagotas de la reforma PE implementa un cargador, un PDF señuelo y un archivo de texto, el cuentagotas en la reforma PowerShell implementa un archivo PDF de señuelo adyacente con un archivo ZIP. El cargador, a su vez, descarga cargas aperos auxiliares, incluido el componente de robador para Kimjongrat.
El archivo ZIP entregado por el cuentagotas de la reforma de PowerShell contiene scripts que incrustan los componentes de Stealer y Keylogger con sede en Kimjongrat PowerShell.
Ambas nuevas encarnaciones son capaces de compendiar y transferir información de víctimas, archivos que coinciden con extensiones específicas y datos del navegador, como credenciales y detalles de extensiones de billetera de criptomonedas. La reforma PE de Kimjongrat además está diseñada para cosechar FTP y despachar información del cliente por correo electrónico.
“El crecimiento continuo y el despliegue de Kimjongrat, que presenta técnicas cambiantes, como usar un servidor CDN lícito para disfrazar su distribución, demuestra una amenaza clara y continua”, dijo la Mecanismo 42. “Esta adaptabilidad no solo muestra la amenaza persistente que representa dicho malware, sino que además subraya el compromiso de sus desarrolladores de poner al día y expandir sus capacidades”.
