伪装成Minecraft模组的恶意软件瞄准游戏玩家

关键发现

Check Point Research发现了一个针对Minecraft用户的多阶段攻击活动，通过GitHub上运营的"Stargazers Ghost Network"分发服务（DaaS）进行传播。该恶意软件冒充Oringo和Taunahi等"脚本和宏工具"（即作弊工具）。

• 第一阶段下载器和第二阶段窃取器使用Java实现，要求主机安装Minecraft
• 第三阶段恶意软件是具有扩展功能的.NET窃取器
• Minecraft恶意软件使用Java编写，常被安全解决方案忽视
• 恶意软件由俄语威胁行为者开发，包含多个俄语编写的工件

技术分析

感染链概述

感染链从托管的JAR存档开始，受害者需要手动下载并安装为Minecraft模组。当受害者启动游戏时，恶意模组会下载第二阶段窃取器，进而再下载一个.NET窃取器。

第一阶段加载器分析

初始JAR文件设计为Minecraft Forge模组，没有manifest中的Main-Class属性。包名引用俄罗斯的贝加尔湖(me.baikal.club)。

加载器实现了简单的反虚拟机和反分析技术：

• 检查系统属性(os.name, java.vm.name, java.vm.vendor)中的黑名单关键词
• 调用tasklist实用程序检测黑名单进程
• 通过Pastebin获取第二阶段下载链接

第二阶段窃取器

成功通过环境检查后，加载器会加载主要组件——窃取器。部分样本可能使用Skidfuscator进行混淆。

主要功能包括：

• 下载并运行.NET窃取器
• 获取外部IP地址
• 窃取Minecraft令牌、Discord令牌、Telegram数据等
• 通过Pastebin获取数据外传URL
• 以JSON格式POST窃取的数据

第三阶段.NET窃取器

SSHaccess类负责下载额外的.NET窃取器并通过Discord webhook外传数据。该窃取器具有广泛的数据收集能力：

• 浏览器凭证（Chromium、Edge、Firefox）
• 加密货币钱包（多种类型）
• VPN配置（ProtonVPN、OpenVPN、NordVPN）
• Steam、Discord、FileZilla、Telegram数据
• 系统信息、进程列表、剪贴板内容和屏幕截图

防护措施

Check Point Threat Emulation和Harmony Endpoint提供全面的攻击战术、文件类型和操作系统覆盖，可防护本报告中描述的威胁。

威胁指标（IOC）

包含多个阶段的JAR文件SHA256哈希值、下载URL、托管域名和GitHub仓库地址等详细威胁指标。