La nueva campaña de malware de varias etapas se dirige a usuarios de Minecraft que usan malware basado en Java que emplea ofertas de distribución como servicio (DAAS) llamadas Stargazers Ghost Network.
«La campaña ha creado una cadena de ataque de varias etapas que se dirige específicamente a los usuarios de Minecraft», dijeron los investigadores de Checkpoint Jaromírhochejší y Antonis Terefos en un informe compartido con Hacker News.
«El malware estaba falsificando a Oringo y Taunahi, los ‘scripts y macro herramientas’ (también conocidos como trucos) ‘. La primera y segunda etapa se desarrollan en Java y solo se pueden ejecutar si el tiempo de ejecución de Minecraft está instalado en la máquina host.
El objetivo final del ataque es engañar a los jugadores para que descarguen modificaciones de Minecraft de GitHub y entregue un .NET Information Steeler con robo de datos integral. La campaña fue detectada por primera vez por una compañía de seguridad cibernética en marzo de 2025.
Lo que hace que la actividad se destaque es el uso de un producto ilegal llamado Stargazers Ghost Network. Utiliza miles de cuentas de GitHub para configurar repositorios contaminados pose como software y trucos de juegos agrietados.
Estos repositorios maliciosos, fingiendo ser modificaciones de Minecraft, actúan como conductos que infectan a los usuarios de videojuegos populares con cargadores Java (por ejemplo, «Oringo-1.8.9.Jar»).
Los archivos Java Archives (JAR) se implementan para evitar técnicas simples anti-VM y antianalíticas para detectarlos. Su objetivo principal es descargar y ejecutar otro archivo JAR, un Steeler de dos etapas que obtiene y ejecuta un .NET Steeler como la carga útil final cuando la víctima inicia el juego.
El componente de la segunda etapa se toma de la dirección IP («147.45.79.104») almacenada en el Pebin de pasta en el formato de codificación Base64, y esencialmente convierte la herramienta de pasta en un resolución de caída muerta.
«Para agregar mods a un juego de Minecraft, los usuarios deberán copiar el archivo de jares malicioso a la carpeta Minecraft Mods. Cuando comience el juego, el proceso de Minecraft cargará todas las modificaciones de la carpeta que contiene las modificaciones maliciosas que desea descargar y ejecutar la segunda etapa», dijeron los investigadores.
Además de descargar .NET Steelers, los Steelers de la segunda etapa están equipados para robar Discord y Tokens Minecraft, así como datos relacionados con el telegrama. Mientras tanto, .NET Steelers puede recopilar varios navegadores y archivos web, así como información de billeteras de criptomonedas y otras aplicaciones como Steam y Filezilla.
También puede tomar capturas de pantalla y acumular información relacionada con el proceso de ejecución, la dirección IP externa del sistema y el contenido del portapapeles. La información capturada finalmente se agrupa y se envía al atacante a través de un webhook de Discord.
Se sospecha que la campaña es el trabajo de un actor de amenaza que habla ruso, debido a la presencia de varios artefactos escritos en ruso y la zona horaria de los compromisos del atacante (UTC+03: 00). Se estima que más de 1,500 dispositivos pueden haber caído presa de este esquema.
«Este caso destaca cómo las comunidades de juego populares pueden usarse como vectores que son efectivos en la distribución de malware y destacan la importancia de la atención al descargar contenido de terceros», dijeron los investigadores.
«Stargazers Ghost Network está distribuyendo activamente este malware y se dirige a los reproductores de Minecraft para que los mods mejoren el juego. De hecho, lo que parecía ser una descarga inofensiva era en realidad un cargador basado en Java que desplegaba dos elementos robados adicionales que descartaban las credenciales y otros datos sensibles».
Se ha detectado una nueva variación de Kim Jong Jurat Steeler
El desarrollo se produce cuando Palo Alto Networks Unit 42 detalla dos nuevas variantes de información robada de productos llamados Codename Kimjongrat, que probablemente esté vinculado al mismo actor de amenaza de Corea del Norte detrás de Babyshark y el lápiz robado. Las ratas Kim Jong se detectaron en la naturaleza en mayo de 2013 y se proporcionaron como una carga útil secundaria en los ataques de Babyshark.
«Una nueva variación utiliza archivos ejecutables portátiles (PE), mientras que el otro usa una implementación de PowerShell», dijo el investigador de seguridad Dominik Reichel. «Las variantes PE y PowerShell se inician haciendo clic en el archivo de acceso directo de Windows (LNK) que descarga el archivo de cuentagotas de una cuenta de entrega de contenido controlado por el atacante (CDN)».
La variante PE Variant extrae cargadores, PDF de señuelo y archivos de texto, mientras que la variante PowerShell Dropper extrae archivos PDF de señuelo junto con el archivo ZIP. El cargador descarga una carga útil auxiliar que contiene el componente Steeler de Kim Jong Rat.
El archivo ZIP entregado por el gotero de la variante de PowerShell incluye scripts que incrustan los componentes Steeler y Keylogger con sede en Kimjongrat PowerShell.
Ambas nuevas encarnaciones pueden recopilar y transferir datos del navegador, como información de víctimas, archivos que coinciden con una extensión particular y credenciales y detalles de la extensión de la billetera de criptomonedas. La variante PE de Kimjongrat está diseñada para cosechar FTP y enviar información del cliente por correo electrónico.
«El continuo desarrollo y la implementación de Kim Jong Rat presenta técnicas cambiantes, como el uso de servidores CDN legítimos para ocultar su distribución, lo que indica una amenaza clara y continua», dijo la Unidad 42. «Esta adaptabilidad no solo muestra la amenaza persistente que representa dicho malware, sino que también destaca el compromiso del desarrollador de actualizar y expandir su funcionalidad».
Source link
