CurseForge, una piattaforma che ospita account e forum relativi a software aggiuntivo noto come mod o plugin, che estendono le capacità del gioco standalone Minecraft, ha scoperto che il malware è stato iniettato in molte delle offerte disponibili online. Alcuni dei file malevoli utilizzati nell’attacco risalgono a metà aprile, segno che i compromessi dell’account sono attivi da settimane.
Fracturiser infetta sistemi Windows e Linux
“Numerosi account di Curseforge e dev.bukkit.org (non il software Bukkit stesso) sono stati compromessi, e software malevolo è stato iniettato in copie di molti plugin e mod popolari”, hanno scritto i giocatori in un forum dedicato alla discussione dell’evento. Il malware utilizzato nell’attacco, soprannominato Fracturiser, funziona su sistemi Windows e Linux. Viene consegnato in fasi che sono iniziate da Stage 0, che inizia una volta che qualcuno esegue una delle mod infette.
Propagazione del malware e furto di dati
Fracturiser si propaga a tutti i file JAR (Java archive) nel filesystem, potenzialmente permettendo a Fracturiser di infettare altre mod che non sono state scaricate da CurseForge o BukkitDev. Inoltre, ruba i cookie e le informazioni di login per diversi browser web, sostituisce gli indirizzi di criptovalute negli appunti con alternative, ruba le credenziali di Discord, Microsoft e Minecraft.
Ricerca manuale dell’infezione
I partecipanti al forum hanno detto che le persone che vogliono controllare manualmente i loro sistemi per segni di infezione dovrebbero cercare i seguenti file: su Linux, ~/.config/.data/lib.jar; su Windows, %LOCALAPPDATA%\Microsoft Edge\libWebGL64.jar (o ~\AppData\Local\Microsoft Edge\libWebGL64.jar). È importante mostrare i file nascosti durante il controllo.