All’inizio di questa settimana, i ricercatori di Microsoft Defender for IoT hanno scoperto dei download dannosi che colpiscono i dispositivi Windows e Linux. Questi download, tra gli altri metodi di propagazione, intrappolano i dispositivi locali in una botnet utilizzata per attaccare i server Minecraft in tutto il mondo. Gli attori delle minacce, o più probabilmente gli script kiddies, sono sempre alla ricerca di nuovi modi per creare scompiglio nel mondo, e quale modo migliore se non quello di attaccare il mondo dei giochi? La botnet, denominata MCCrash, ha origine da un software dannoso incorporato in strumenti di cracking del software per dispositivi Windows, da cui si diffonde poi ai dispositivi Linux o IoT. Si diffonde quindi tentando di utilizzare le credenziali predefinite sui dispositivi abilitati SSH esposti a Internet, come i dispositivi IoT.
È interessante notare che questa estesa botnet ha catturato in gran parte dispositivi di origine russa e probabilmente fa parte di un servizio venduto su siti web o forum oscuri. Che si tratti o meno di una piattaforma DDoS-as-a-service, funziona per abbattere i server Minecraft Java inviando pacchetti appositamente creati per esaurire le risorse del server Minecraft. In particolare, sfrutta la libreria Log4j 2 e la sua variabile env per distruggere i sistemi, ma non è correlato alla vulnerabilità Log4Shell. I ricercatori notano inoltre che il malware utilizzato per la botnet è stato codificato per colpire la versione 1.12.2 del server Minecraft. In teoria, però, potrebbe funzionare dalla versione del server Minecraft 1.7.2 alla 1.18.2, che comprende molti server Minecraft in tutto il mondo. Fortunatamente, una modifica apportata in Minecraft 1.19 impedisce l’uso di questi comandi e funzionalità. In ogni caso, questa botnet è particolarmente pericolosa perché utilizza dispositivi IoT che ne riducono la rilevabilità e ne aumentano l’impatto, secondo i ricercatori. Tuttavia, poiché il malware è stato codificato per attaccare solo la versione 1.12.2 di Minecraft, la sua portata è significativamente più limitata, anche se questo potrebbe cambiare o essere copiato da un’altra botnet in futuro.
