Sahte Minecraft Yükleyici, Verileri Çalmak İçin NjRat Casus Yazılımını Yayıyor

Sahte Minecraft klonu Eaglercraft 1.12 Çevrimdışı yayılıyor NjRat casus yazılımı şifreleri çalıyor, web kamerası ve mikrofon aracılığıyla casusluk yapıyor, Point Wild güvenlik ekibi uyarıyor.

Point Wild'ın Lat61 Tehdit İstihbarat Ekibi, popüler oyun Minecraft hayranlarını hedef alan yeni bir siber tehdit ortaya çıkardı. Minecraft yükleyicisi kılığına girmiş kötü amaçlı yazılım, bilgisayarları enfekte ederek bilgisayar korsanlarının kişisel verileri çalmasına olanak tanıyor.

Hackread.com'a Point Wild tarafından sağlanan bu araştırmanın sürpriz olmaması gerekiyorçünkü Minecraft, 2021 yılında şimdiye kadarki en kötü amaçlı yazılım bulaşmış oyun ilan edilmişti.

Devam eden tehdit ise, kötü amaçlı yazılımın Eaglercraft 1.12 Offline adlı resmi olmayan bir tarayıcı tabanlı Minecraft klonunun içinde gizlenmiş olması. Bu klon, genellikle okullarda ve diğer kısıtlı ortamlarda kullanılıyor. Çocuklar ve sıradan oyuncular da dahil olmak üzere milyonlarca oyuncu, son dönemdeki heyecan dalgası sırasında Minecraft ile ilgili içerik indirirken, farkında olmadan bilgisayarlarını riske atıyorlar.

Araştırma, sahte oyun yükleyicisinin, siber suçlular tarafından yıllardır enfekte cihazların tam kontrolünü ele geçirmek için kullanılan NjRat adı verilen tehlikeli bir Uzaktan Erişim Truva Atı (RAT) türünü içerdiğini ortaya koyuyor.

Bu kötü amaçlı yazılım, kullanıcının bilgisi olmadan çeşitli zararlı faaliyetler gerçekleştirebilir. Her tuş vuruşunu kaydetmek için bir tuş kaydedici kullanır ve bu sayede kullanıcı adlarını, parolaları ve diğer hassas bilgileri çalabilir. Ayrıca, bir bilgisayarın web kamerasına ve mikrofonuna yetkisiz erişim sağlayarak kullanıcıları gözetleyebilir ve saldırganların gizlice izlemesine ve dinlemesine olanak tanıyabilir.

Ayrıca, bilgisayarın başlangıç dosyalarına WindowsServices.exe adlı gizli bir program ekleyerek bir arka kapı oluşturur ve sistem her açıldığında çalışmasını sağlar. Kendini korumak için, kötü amaçlı yazılım, Wireshark gibi güvenlik araçlarını tespit ederse sistemi Mavi Ekran hatasıyla çökertecek şekilde programlanmıştır; bu da uzmanların analiz etmesini zorlaştırır.

Oyun yüzeyde dikkat dağıtıcı bir şekilde çalışırken, arka planda WindowsServices.exe adlı gizli bir işlem sessizce yürütülüyordu. Bu işlem meşru bir Windows bileşeni değil ve muhtemelen şüphe çekmemek için bir sistem işlemi gibi davranarak dağıtılmıştı. Daha detaylı inceleme, özellikle cmd.exe olmak üzere ek alt işlemler oluşturduğunu ve ardından kötü amaçlı yazılımlar tarafından komut satırı yürütme ve yük işleme için yaygın olarak kullanılan conhost.exe'yi ortaya çıkardı.

Nihanshu Katkar – Lat61 Tehdit İstihbarat Ekibi

Point Wild'ın araştırmasına göre, saldırı Minecraft yükleyicisi kılığına girmiş kötü amaçlı bir dosyayla başlıyor. Kullanıcı dosyayı çalıştırdığında, bilgisayar gizlice, aralarında önemli kötü amaçlı programın da bulunduğu birkaç dosyayı indiriyor ve sahte Minecraft oyununa bir tarayıcı penceresi açarak kullanıcının dikkatini dağıtıyor. Oyun oynarken, gizli program arka planda çalışıyor.

Aşağıdaki diyagram, kötü amaçlı yazılımın sessizce dosyaları nasıl bıraktığını, bilgisayarın başlangıç dosyalarında sürekli çalışmasını sağlamak için yeni bir giriş nasıl oluşturduğunu ve ardından uzak bir sunucuya nasıl bağlandığını göstermektedir. Hindistan'da Amazon bulutunda barındırılan bu sunucu, saldırganlar tarafından virüslü bilgisayarı kontrol etmek ve veri çalmak için kullanılıyor.

Point Wild CTO'su ve Lat61 Tehdit İstihbarat ekibinin lideriDr. Zulfikar Ramzan , "Tehdit aktörleri, güçlü casus yazılımları yaymak için Minecraft modlarının popülaritesinden yararlanıyor. Zararsız gibi görünen bir oyun aslında casusluk ve veri hırsızlığı için bir araca dönüşüyor." uyarısında bulunuyor.

Bu nedenle, Minecraft oynuyorsanız, oyunun resmi mağazadan indirildiğinden emin olun ve her satın alımınızın resmi mağazadan yapıldığından emin olarak görünüm ve mod satın alırken dikkatli olun. Üçüncü taraf uygulamaları indirmek, cihazınızı daha fazla riske atacaktır.