Este nuevo malware usó plataformas de Minecraft para infectar Windows y Linux

Hackers utilizaron las populares plataformas de modificación de Minecraft Bukkit y CurseForge para distribuir un nuevo malware de robo de información llamado ‘Fractureiser’ a través de modificaciones cargadas e inyectando código malicioso en proyectos existentes.

Según  varios informes , el ataque comenzó cuando varias cuentas de CurseForge y Bukkit se vieron comprometidas. Estas cuentas se usaron para inyectar código malicioso en complementos y mods, que luego fueron adoptados por modpacks populares como ‘Better Minecraft’, que tiene más de 4.6 millones de descargas.

En particular, muchos de los modpacks afectados se vieron comprometidos a pesar de que supuestamente estaban protegidos por autenticación de dos factores. Al mismo tiempo, las actualizaciones se archivaron de inmediato para que no aparecieran en público, pero no obstante se enviaron a los usuarios a través de la API.

Mods afectados

Investigadores han confirmado que los siguientes mods y modpacks fueron afectados por el malware Fractureiser:

CurseForge:

• Dungeons Arise
• Sky Villages
• Better MC modpack series
• Fabuously Optimized (Found to not be compromised)
• Dungeonz
• Skyblock Core
• Vault Integrations
• AutoBroadcast
• Museum Curator Advanced
• Vault Integrations Bug fix
• Create Infernal Expansion Plus – Mod removed from CurseForge

Bukkit:

• Display Entity Editor
• Haven Elytra
• The Nexus Event Custom Entity Editor
• Simple Harvesting
• MCBounties
• Easy Custom Foods
• Anti Command Spam Bungeecord Support
• Ultimate Leveling
• Anti Redstone Crash
• Hydration
• Fragment Permission Plugin
• No VPNS
• Ultimate Titles Animations Gradient RGB
• Floating Damage

Los jugadores afectados incluyen aquellos que descargaron mods o complementos de CurseForge y dev.bukkit.org en las últimas tres semanas. Sin embargo, aún no se ha apreciado completamente el alcance de la infección.

La descarga y ejecución de un mod infectado desencadena una cadena de compromiso en todos los mods de la computadora infectada.

Luna Pixel Studios informó en Discord que uno de sus desarrolladores probó un mod infectado, lo que resultó en un compromiso de la cadena de suministro que también afectó a sus modpacks.

Los jugadores de Minecraft deben evitar usar el iniciador de CurseForge o descargar cualquier cosa de los repositorios de complementos de CurseForge o Bukkit hasta que la situación se aclare.

Detalles del malware Fractureiser

Un  informe técnico de Hackmd arrojó más detalles sobre el malware Fractureiser y explican que el ataque se llevó a cabo en cuatro etapas, específicamente, las etapas 0, 1, 2 y 3.

La “Etapa 0” es el vector de ataque inicial, cuando se cargan nuevos mods o se secuestran mods legítimos para incluir una nueva función maliciosa al final de la clase principal del proyecto.

Cuando se ejecuta la función, se realizará una conexión a la URL http://85.217.144[.]130:8080/dl y se descarga un archivo llamado dl.jar, que luego se ejecuta como una nueva clase de utilidad.

Hackmd dice que la clase tiene argumentos de cadena específicos para cada mod comprometido.

Cuando se ejecuta dl.jar, el malware se conecta a https://files-8ie.pages.dev/ip y recupera una dirección IP para el servidor de comando y control (C2) del atacante.

Hackmd dice que el malware también se conecta a esa dirección IP en el puerto 8083 para descargar un archivo y guardarlo como “%LOCALAPPDATA%\Microsoft Edge\libWebGL64.jar“(Windows) o “~/.config/.data/lib.jar” (Linux).

Luego, el malware configura el archivo JAR para que se inicie automáticamente en Windows configurando una entrada de inicio automático en la clave de registro ‘Run’. Para Linux, crea un nuevo servicio en /etc/systemd llamado ‘systemd-utility.service’.

Llib.jar o libWebGL64.jar es un instalador ofuscado para Windows y Linux que se cree que descarga un payload adicional llamado ‘client.jar’. 

El ejecutable client.jar es “Etapa 3” y es una mezcla altamente ofuscada de Java y código nativo de Windows en la forma de un malware de robo de información llamado hook.dll.

Capacidades del malware

Los investigadores afirman que el malware de robo de información Fractureiser es capaz de:

• Auto propagarse a todos los archivos .jar en el sistema de archivos inyectando “Etapa 0” en ellos
• Robar cookies y credenciales de cuentas almacenadas en los navegadores web
• Reemplazar las direcciones de billetera de criptomonedas copiadas en el portapapeles del sistema
• Robar las credenciales de la cuenta de Microsoft
• Robar las credenciales de la cuenta de Discord
• Robar las credenciales de la cuenta de Minecraft de una variedad de lanzadores

El malware también crea un acceso directo de Windows que hace que se ejecute un script en http://85.217.144[.130/script cuando se inicia Windows.

Este script comprueba si Java está instalado y, en caso contrario, lo descarga desde azul.com. Luego, el script vuelve a descargar el archivo dl.jar en %temp%\installer.jar y lo ejecuta, lo que probablemente implementará nuevas actualizaciones de malware a medida que se publiquen.

¿Qué deben hacer los jugadores de Minecraft?

Siempre se recomienda a los jugadores de Minecraft que usan mods que tengan mucho cuidado al descargar mods. Empero, aún más ahora que esta campaña de Fractureiser está activa.

Aquellos que temen que Fractureiser pueda haberlos infectado pueden usar scripts de escaneo (para Windows, para Linux) proporcionados por la comunidad para verificar si hay signos de infección en su sistema.

Las comprobaciones manuales que indican una infección incluyen la presencia de los siguientes archivos o claves del Registro de Windows:

• Entradas inusuales en la clave de registro ‘HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run‘. Los usuarios de Windows pueden usar el Editor del Registro para ver estas entradas o la pestaña Inicio en el Administrador de tareas.
• Un acceso directo en %AppData%\Microsoft\Windows\Start Menu\Programs\Startup, como se describe a continuación.
• El archivo ~/.config/.data/lib.jar en Linux.
• Los archivos %LOCALAPPDATA%\Microsoft Edge\libWebGL64.jar o ~\AppData\Local\Microsoft Edge\libWebGL64.jar (en Windows).
• Servicios inusuales de Systemd en /etc/systemd/system. Es probable que se llame ‘systemd-utility.service‘.
• Un archivo en %Temp%\installer.jar.

Todavía queda mucho por conocer sobre el malware Fractureiser, por lo que es posible que se agreguen nuevos indicadores de compromiso en el futuro.

A medida que avanza el día, más motores antivirus comenzarán a detectar los ejecutables de Java maliciosos. Por lo tanto, si escaneas tu computadora y no encuentras nada, te recomendamos encarecidamente que realices escaneos más adelante. 

Además, si estás infectado, debes limpiar tu computadora, idealmente reinstalando el sistema operativo, y luego cambiar a contraseñas únicas en todas tus cuentas. Al cambiar las contraseñas, concéntrate en las cuentas confidenciales, como cuentas de criptomonedas, correo electrónico, cuentas bancarias, entre otras.