(https://i.imgur.com/6jeGIqF.jpeg)
Una campaña de malware a gran escala dirigida a jugadores de Minecraft ha sido descubierta recientemente, afectando a miles de usuarios que descargan mods y trucos infectados para este popular videojuego. La operación utiliza ladrones de información (infostealers) diseñados para robar credenciales, tokens de autenticación, y billeteras de criptomonedas en sistemas Windows.
La amenaza fue identificada por investigadores de Check Point Research, quienes atribuyen la campaña al grupo conocido como Stargazers Ghost Network, una red activa desde 2023 que emplea tácticas de distribución como servicio (Distribution-as-a-Service, DaaS) para propagar su malware utilizando plataformas legítimas como GitHub y Pastebin.
Stargazers Ghost Network: malware oculto en mods de MinecraftEcosistema de modding como vector de ataqueLa campaña aprovecha el vasto ecosistema de modding de Minecraft, un entorno ideal para infiltrar malware a través de archivos aparentemente inofensivos. Según Check Point, los actores maliciosos utilizan repositorios de GitHub disfrazados de mods populares como Skyblock Extras, Polar Client, FunnyMap, Oringo y Taunahi. En total, se han identificado aproximadamente 500 repositorios, muchos de ellos bifurcados o clonados, que forman parte de esta operación.
Check Point también ha detectado más de 700 "estrellas" en GitHub generadas por unas 70 cuentas falsas, lo que indica un esfuerzo coordinado para dar legitimidad a estos proyectos maliciosos.
Técnicas avanzadas para eludir detecciónMalware basado en Java y GodotEl malware se presenta en múltiples etapas. La infección inicial comienza cuando el jugador ejecuta un archivo JAR malicioso dentro de Minecraft, lo que desencadena la descarga de una segunda etapa desde Pastebin, utilizando URLs codificadas en Base64. Esta segunda etapa incluye un ladrón de información basado en Java, que apunta a:
- Tokens de cuentas de Minecraft
- Datos de lanzadores como Lunar, Feather y Essential
- Tokens de Discord y Telegram
Los datos robados se transmiten a través de solicitudes HTTP POST al servidor del atacante.
44 CALIBER: ladrón de información .NETUna vez ejecutado, el ladrón de Java también actúa como cargador para un segundo malware conocido como 44 CALIBER, un ladrón .NET más tradicional que roba:
- Credenciales de navegadores (Chromium, Edge, Firefox)
- Documentos personales y archivos del sistema
- Billeteras de criptomonedas (BitcoinCore, Monero, Ethereum, Zcash, entre otras)
- Cuentas de VPN (ProtonVPN, NordVPN, OpenVPN)
- Información de aplicaciones como Steam, Discord, FileZilla y Telegram
Este malware también captura información del sistema, datos del portapapeles y realiza capturas de pantalla, lo que representa una amenaza crítica para la privacidad y seguridad del usuario.
Origen y señales de compromiso (IoC)Los investigadores destacan que los webhooks de exfiltración usan Discord y contienen comentarios en ruso, junto con marcas de tiempo UTC+3, lo que apunta a que los operadores podrían tener origen en Europa del Este, posiblemente Rusia.
Check Point ha compartido una lista completa de indicadores de compromiso (IoC) al final de su informe técnico, con el fin de ayudar a administradores y expertos en ciberseguridad a identificar y mitigar esta amenaza.
Recomendaciones para protegerse del malware en MinecraftPara evitar ser víctima de esta y otras campañas similares, se recomienda a los jugadores de Minecraft tomar las siguientes precauciones:
- Descargar mods únicamente de plataformas de confianza y comunidades oficiales.
- Verificar que los proyectos en GitHub tengan un historial legítimo de confirmaciones, colaboradores activos y una comunidad real.
- Evitar mods compartidos por usuarios desconocidos o repositorios con poca o ninguna actividad reciente.
- Utilizar cuentas de Minecraft secundarias o "desechables" al probar mods desconocidos.
- Contar con una solución de seguridad endpoint actualizada que pueda detectar cargas maliciosas.
En fin, la campaña dirigida por Stargazers Ghost Network pone en evidencia cómo plataformas legítimas como GitHub y Pastebin pueden ser utilizadas para distribuir software malicioso a través de archivos que aparentan ser herramientas útiles para la comunidad gamer. En el caso de Minecraft, cuya base de usuarios incluye una gran cantidad de menores de edad y entusiastas del modding, los riesgos son aún más altos.
La concienciación en ciberseguridad, combinada con buenas prácticas de higiene digital, sigue siendo la primera línea de defensa contra estas campañas que buscan explotar la confianza de los usuarios en entornos populares.
Fuente: https://www.bleepingcomputer.com/