Десятки модов для Minecraft заражены малварью Fracturiser - «Новости» » Интернет технологии
sitename
Китайцы построили самую мощную в мире центрифугу, чтобы «сжимать» время и пространство - «Новости сети»
Китайцы построили самую мощную в мире центрифугу, чтобы «сжимать» время и пространство - «Новости сети»
Asus представила геймерские смартфоны ROG Phone 9 и 9 Pro — Snapdragon 8 Elite, разъём для наушников и цена от $1000 - «Новости сети»
Asus представила геймерские смартфоны ROG Phone 9 и 9 Pro — Snapdragon 8 Elite, разъём для наушников и цена от $1000 - «Новости сети»
Microsoft представила Windows 365 Link — компьютер, на который нельзя установить ни одной программы - «Новости сети»
Microsoft представила Windows 365 Link — компьютер, на который нельзя установить ни одной программы - «Новости сети»
Вредоносные коммиты с бэкдорами обнаружили на GitHub - «Новости»
Вредоносные коммиты с бэкдорами обнаружили на GitHub - «Новости»
Критический баг в плагине для WordPress угрожает 4 млн сайтов - «Новости»
Критический баг в плагине для WordPress угрожает 4 млн сайтов - «Новости»
Данные всех россиян уже утекли в даркнет, заявил глава «Ростелекома» - «Новости сети»
Данные всех россиян уже утекли в даркнет, заявил глава «Ростелекома» - «Новости сети»
Самым популярным паролем в 2024 году остается «123456» - «Новости»
Самым популярным паролем в 2024 году остается «123456» - «Новости»
Ботнет эксплуатирует 0-day уязвимость в устройствах GeoVision - «Новости»
Ботнет эксплуатирует 0-day уязвимость в устройствах GeoVision - «Новости»
Компанию T-Mobile взломали во время недавней атаки на телекомы - «Новости»
Компанию T-Mobile взломали во время недавней атаки на телекомы - «Новости»
«Что-то мне как-то не по себе»: игроков насторожил 4K-геймплей S.T.A.L.K.E.R. 2: Heart of Chornobyl от Nvidia - «Новости сети»
«Что-то мне как-то не по себе»: игроков насторожил 4K-геймплей S.T.A.L.K.E.R. 2: Heart of Chornobyl от Nvidia - «Новости сети»
Как заработать денег, не выходя из дома, мы вам поможем с этим разобраться » Новости » Десятки модов для Minecraft заражены малварью Fracturiser - «Новости»

ИБ-эксперты и создатели опенсорсного лаунчера Minecraft, Prism Launcher, призывают пользователей немедленно прекратить загрузку и обновление модов для игры. Дело в том, что в ряде модов была обнаружена самораспространяющаяся малварь Fracturiser, атакующая системы под управлением Windows и Linux.


Учетные записи разработчиков зараженных модов размещались на платформе CurseForge. Причем некоторые из вредоносных файлов, использованных в атаках, датированы серединой апреля, то есть предполагается, что учетные записи были скомпрометированы еще несколько недель назад. Кроме того, Bukkit.org, платформа для разработчиков, управляемая CurseForge, тоже считается пострадавшей от атаки.


«Ряд учетных записей Curseforge и dev.bukkit.org (не само ПО Bukkit) были скомпрометированы, и вредоносное ПО внедрили в копии многих популярных плагинов и модов, — пишут на Hackmd, в теме, посвященной обсуждению случившегося. — Некоторые из вредоносных копий внедрены в популярные модпаки, включая Better Minecraft [насчитывает более 4,6 млн загрузок]. Сообщения о вредоносных JAR-файлах в плагинах и модах появились еще в середине апреля».


Представители Prism Launcher сообщают, что заражение «широко распространено» и перечисляют следующие моды в числе затронутых атакой.


CurseForge:



  • Dungeons Arise

  • Sky Villages

  • Better MC серия модпаков

  • Dungeonz

  • Skyblock Core

  • Vault Integrations

  • AutoBroadcast

  • Museum Curator Advanced

  • Vault Integrations Bug fix

  • Create Infernal Expansion Plus (мод удален с CurseForge)


Bukkit:



  • Display Entity Editor

  • Haven Elytra

  • The Nexus Event Custom Entity Editor

  • Simple Harvesting

  • MCBounties

  • Easy Custom Foods

  • Anti Command Spam Bungeecord Support

  • Ultimate Leveling

  • Anti Redstone Crash

  • Hydration

  • Fragment Permission Plugin

  • No VPNS

  • Ultimate Titles Animations Gradient RGB

  • Floating Damage


Использованное в этих атаках вредоносное ПО Fracturiser работает как в Windows так и в Linux. Малварь доставляется поэтапно, и цепочка заражения стартует после того, как пользователь запускает один из зараженных модов. На каждом последующем этапе происходит загрузка файлов с управляющего сервера, после чего атака переходит на следующий этап.



Вредоносный класс в dl.jar. Фото: Bleeping Computer

На этапе 3, который считается последним, происходит создание папки и скрипта, вносящего изменения в реестр, а также выполняются следующие действия:



  • вредонос распространяет себя на все файлы JAR в файловой системе, что позволяет Fracturiser заражать другие моды, которые не были загружены с CurseForge или BukkitDev;

  • хищение файлов cookie и информации для входа в ряд браузеров;

  • подмена криптовалютных адресов в буфере обмена на альтернативные, принадлежащие хакерам;

  • кража учетных данных Discord;

  • кража учетных данных Microsoft и Minecraft.


Судя по образцам малвари, загруженным на VirusTotal (1, 2), пока далеко не все антивирусные решения обнаруживают Fracturiser.


Людям, которые хотят вручную проверить свои системы на наличие Fracturiser и признаков заражения, следует искать следующие индикаторы компрометации.



  • Linux:~/.config/.data/lib.jar.

  • Windows:

  • искать файлы %LOCALAPPDATA%Microsoft EdgelibWebGL64.jar или ~AppDataLocalMicrosoft EdgelibWebGL64.jar;

  • проверить реестр на наличие подозрительных записей в разделе HKEY_CURRENT_USER:oftwareMicrosoftWindowsCurrentVersionun;

  • искать ярлык в %appdata%MicrosoftWindowstart MenuProgramstartup;

  • искать необычные службы Systemd в /etc/systemd/system (вероятно, systemd-utility.service);

  • проверить наличие файла %Temp%installer.jar.

  • Прочие ОС: не затронуты.


Десятки модов для Minecraft заражены малварью Fracturiser - «Новости»

Ярлык Windows, созданный Fractureiser. Фото: Bleeping Computer

Специалисты, расследующие этот инцидент, уже опубликовали скрипты для облегчения поиска перечисленных индикаторов. Кроме того, у CurseForge уже есть руководство по ликвидации заражения.


В социальных сетях представители CurseForge заявили, что «злоумышленник создал несколько учетных записей и загрузил на платформу проекты, содержащие вредоносное ПО». Также официальные лица заявили, что параллельно с этим учетная запись, принадлежащая разработчику модов Luna Pixel Studios (LPS), была взломана и тоже использовалась для загрузки аналогичного вредоносного ПО.


Luna Pixel Studios подтверждает в Discord, что один из ее разработчиков установил зараженный мод, что привело к компрометации всей цепочки поставок, и в итоге заражение повлияло на  многие модпаки.


Представители CurseForge уверяют, что уже заблокировали все учетные записи, имеющие отношение к атакам, а также отключили учетную запись LPS. «Мы находимся в прямом контакте с командой LPS, чтобы помочь им восстановить доступ», — гласит официальное заявление.


«Мы находимся в процессе просмотра ВСЕХ новых проектов и файлов, чтобы гарантировать вашу безопасность. Разумеется, мы приостановили процесс утверждения любых новых файлов, пока проблема не будет решена.


Удаление клиента CF не является рекомендуемым решением, поскольку это не решит проблему и помешает нам установить исправления. Мы работаем над инструментом, который поможет вам убедиться, что вы не пострадали от атаки. Пока обратитесь к информации, опубликованной в #current-issues.


Подчеркиваем, что CurseForge не скомпрометирован! Ни одна учетная запись администратора не была взломана», — пишут представители CurseForge.


Всем пользователям, обнаружившим у себя заражение, настоятельно рекомендуется очистить свой компьютер, а лучше переустановить операционную систему. После этого следует изменить пароли от всех учетных записей на новые и уникальные. При смене паролей в первую очередь советуют сосредоточиться на конфиденциальных учетных записях, включая связанные с криптовалютой, электронной почтой, банковскими счетами и так далее.


Фото: Bleeping Computer


ИБ-эксперты и создатели опенсорсного лаунчера Minecraft, Prism Launcher, призывают пользователей немедленно прекратить загрузку и обновление модов для игры. Дело в том, что в ряде модов была обнаружена самораспространяющаяся малварь Fracturiser, атакующая системы под управлением Windows и Linux. Учетные записи разработчиков зараженных модов размещались на платформе CurseForge. Причем некоторые из вредоносных файлов, использованных в атаках, датированы серединой апреля, то есть предполагается, что учетные записи были скомпрометированы еще несколько недель назад. Кроме того, Bukkit.org, платформа для разработчиков, управляемая CurseForge, тоже считается пострадавшей от атаки. «Ряд учетных записей Curseforge и dev.bukkit.org (не само ПО Bukkit) были скомпрометированы, и вредоносное ПО внедрили в копии многих популярных плагинов и модов, — пишут на Hackmd, в теме, посвященной обсуждению случившегося. — Некоторые из вредоносных копий внедрены в популярные модпаки, включая Better Minecraft _
CSS

Смотрите также


А что там на главной? )))



Комментарии )))



Войти через: