Un falso programma di installazione di Minecraft diffonde lo spyware NjRat per rubare dati

Il falso clone di Minecraft Eaglercraft 1.12 Offline diffonde lo spyware NjRat, ruba le password e spia tramite webcam e microfono, avverte il team di sicurezza di Point Wild.

Il team di intelligence sulle minacce Lat61 di Point Wild ha scoperto una nuova minaccia informatica rivolta ai fan del popolare gioco Minecraft . Un malware mascherato da installer di Minecraft sta infettando i computer, consentendo agli hacker di rubare dati personali.

Questa ricerca fornita a Hackread.com da Point Wild non dovrebbe sorprendere,poiché nel 2021 Minecraft era già stato dichiarato il gioco più infetto da malware di sempre.

Per quanto riguarda la minaccia attuale, il malware è nascosto in un clone non ufficiale di Minecraft basato su browser chiamato Eaglercraft 1.12 Offline, spesso utilizzato nelle scuole e in altri ambienti con restrizioni. Mentre milioni di giocatori, inclusi bambini e giocatori occasionali, scaricano contenuti correlati a Minecraft durante la recente ondata di entusiasmo, stanno inconsapevolmente mettendo a rischio i propri computer.

La ricerca rivela che il falso programma di installazione del gioco include un pericoloso tipo di Trojan di accesso remoto (RAT) chiamato NjRat , utilizzato da anni dai criminali informatici per assumere il controllo completo dei dispositivi infetti.

Questo malware può eseguire diverse attività dannose all'insaputa dell'utente. Utilizza un keylogger per registrare ogni battitura, riuscendo a rubare nomi utente, password e altre informazioni sensibili. Può anche spiare gli utenti ottenendo l'accesso non autorizzato alla webcam e al microfono di un computer, consentendo agli aggressori di osservare e ascoltare segretamente.

Inoltre, crea una backdoor aggiungendo un programma nascosto chiamato WindowsServices.exe ai file di avvio del computer, assicurandosi che venga eseguito ogni volta che il sistema viene acceso. Per proteggersi, il malware è programmato per bloccare il sistema con una schermata blu di errore se rileva strumenti di sicurezza come Wireshark , rendendo più difficile l'analisi da parte degli esperti.

"Mentre il gioco sembrava funzionare come una distrazione, un processo nascosto chiamato WindowsServices.exe veniva eseguito silenziosamente in background. Questo processo non è un componente legittimo di Windows ed è stato probabilmente implementato per mascherarsi da processo di sistema al fine di evitare sospetti. Ulteriori ispezioni hanno rivelato che generava ulteriori processi figlio, in particolare cmd.exe, seguito da conhost.exe, comunemente utilizzato dal malware per l'esecuzione da riga di comando e la gestione del payload."

Nihanshu Katkar – Squadra di intelligence sulle minacce Lat61

Secondo la ricerca di Point Wild, l'attacco inizia con un file dannoso mascherato da programma di installazione di Minecraft. Quando un utente lo esegue, il computer rilascia silenziosamente diversi file, incluso il programma dannoso principale, e distrae l'utente aprendo una finestra del browser con il finto gioco di Minecraft . Durante il gioco, il programma nascosto viene eseguito in background.

Il diagramma seguente illustra come il malware rilascia silenziosamente i file, crea una nuova voce nei file di avvio del computer per assicurarsi di essere sempre in esecuzione e quindi si connette a un server remoto. Questo server, ospitato in India sul cloud di Amazon, viene utilizzato dagli aggressori per controllare il computer infetto e rubare dati.

Il Dott. Zulfikar Ramzan , CTO di Point Wild e leader del team di Threat Intelligence di Lat61, avverte che "gli autori di minacce stanno sfruttando la popolarità delle mod di Minecraft per diffondere potenti spyware. Quello che sembra un gioco innocuo si trasforma in realtà in uno strumento di spionaggio e furto di dati".

Pertanto, se giocate a Minecraft, assicuratevi di scaricarlo dallo store ufficiale e fate attenzione quando acquistate skin e mod, assicurandovi che ogni acquisto avvenga tramite lo store ufficiale. Scaricare app di terze parti non farà altro che mettere a rischio il vostro dispositivo.