新たな多段階マルウェアキャンペーンが、MinecraftユーザーをターゲットにしたJavaベースのマルウェアを使用しており、Stargazers Ghost Networkと呼ばれるサービスとしての配布(DaaS)を提供しています。
「このキャンペーンは、特にMinecraftユーザーをターゲットにした多段階攻撃チェーンをもたらしました」とCheck Pointの研究者であるJaromír HořejšíとAntonis Terefosは、The Hacker Newsと共有したレポートで述べています。
「マルウェアはOringoとTaunahiを装っており、これらは「スクリプトとマクロツール」(いわゆるチート)です。第一段階と第二段階の両方がJavaで開発されており、ホストマシンにMinecraftランタイムがインストールされている場合にのみ実行可能です。」
攻撃の最終目的は、プレイヤーをGitHubからMinecraftモッドをダウンロードさせ、包括的なデータ窃取能力を持つ.NET情報スティーラーを配信することです。このキャンペーンは、サイバーセキュリティ企業によって2025年3月に初めて検出されました。
この活動が注目される理由は、Stargazers Ghost Networkと呼ばれる不正な提供を利用しており、数千のGitHubアカウントを利用して、クラックされたソフトウェアやゲームチートを装った汚染されたリポジトリを設定していることです。
これらの悪意のあるリポジトリは、Minecraftモッドを装って、人気のあるビデオゲームのユーザーに感染するための導管として機能し、Javaローダー(例:「Oringo-1.8.9.jar」)を提供します。これは執筆時点で全てのアンチウイルスエンジンに検出されていません。
Javaアーカイブ(JAR)ファイルは、検出努力を回避するために簡単なアンチVMおよびアンチ分析技術を実装しています。彼らの主な目的は、別のJARファイルをダウンロードして実行することであり、これは被害者がゲームを開始したときに最終ペイロードとして.NETスティーラーを取得して実行します。
第二段階のコンポーネントは、Base64エンコード形式のPastebinに保存されたIPアドレス(「147.45.79.104」)から取得され、基本的にペーストツールをデッドドロップリゾルバに変えています。
「Minecraftゲームにモッドを追加するには、ユーザーは悪意のあるJARアーカイブをMinecraftモッズフォルダにコピーする必要があります。ゲームを開始すると、Minecraftプロセスはフォルダからすべてのモッドをロードし、悪意のあるモッドも含まれ、第二段階をダウンロードして実行します」と研究者は述べています。
.NETスティーラーをダウンロードすることに加えて、第二段階のスティーラーはDiscordとMinecraftトークン、およびTelegram関連データを盗むことができます。一方、.NETスティーラーは、さまざまなウェブブラウザからの資格情報を収集し、暗号通貨ウォレットやSteam、FileZillaなどのアプリから情報を収集することができます。
また、スクリーンショットを撮り、実行中のプロセス、システムの外部IPアドレス、クリップボードの内容に関連する情報を集めることもできます。収集された情報は最終的にバンドルされ、DiscordのWebhookを通じて攻撃者に送信されます。
このキャンペーンは、ロシア語を話す脅威アクターの仕業であると疑われており、ロシア語で書かれたいくつかのアーティファクトと攻撃者のコミットのタイムゾーン(UTC+03:00)が存在するためです。1,500台以上のデバイスがこのスキームの犠牲になったと推定されています。
「このケースは、人気のあるゲームコミュニティがマルウェア配布の効果的なベクターとしてどのように悪用されるかを示しており、サードパーティのコンテンツをダウンロードする際の注意の重要性を強調しています」と研究者は述べています。
「Stargazers Ghost Networkは、このマルウェアを積極的に配布しており、ゲームプレイを向上させるためにモッドを求めるMinecraftプレイヤーをターゲットにしています。無害に見えたダウンロードは、実際には資格情報やその他の機密データを流出させる能力を持つJavaベースのローダーでした。」
KimJongRATスティーラーの新しいバリアントが検出#
この開発は、Palo Alto Networks Unit 42が、おそらく北朝鮮の脅威アクターと関連している情報スティーラー「KimJongRAT」の2つの新しいバリアントを詳述した際に発生しました。この脅威アクターはBabySharkやStolen Pencilの背後にいるとされています。KimJongRATは、2013年5月に野生で検出され、BabyShark攻撃で二次ペイロードとして配信されました。
「新しいバリアントの1つはポータブル実行可能(PE)ファイルを使用し、もう1つはPowerShell実装を使用しています」とセキュリティ研究者のDominik Reichelは述べています。「PEとPowerShellのバリアントはどちらも、攻撃者が管理するコンテンツ配信ネットワーク(CDN)アカウントからドロッパーファイルをダウンロードするWindowsショートカット(LNK)ファイルをクリックすることで開始されます。」
PEバリアントのドロッパーはローダー、デコイPDF、およびテキストファイルを展開しますが、PowerShellバリアントのドロッパーはデコイPDFファイルとZIPアーカイブを展開します。ローダーは、KimJongRATのスティーラーコンポーネントを含む補助ペイロードをダウンロードします。
PowerShellバリアントのドロッパーによって配信されたZIPアーカイブには、KimJongRATのPowerShellベースのスティーラーとキーロガーコンポーネントを埋め込んだスクリプトが含まれています。
新しいインカーネーションの両方は、被害者の情報、特定の拡張子に一致するファイル、およびブラウザデータ(資格情報や暗号通貨ウォレット拡張からの詳細)を収集および転送することができます。KimJongRATのPEバリアントは、FTPおよびメールクライアント情報を収集するようにも設計されています。
「KimJongRATの継続的な開発と展開は、正当なCDNサーバーを使用してその配布を偽装するなどの技術の変化を特徴としており、明確で継続的な脅威を示しています」とUnit 42は述べています。「この適応性は、このようなマルウェアがもたらす持続的な脅威を示すだけでなく、その開発者がその能力を更新および拡張することにコミットしていることも強調しています。」
翻訳元: https://thehackernews.com/2025/06/1500-minecraft-players-infected-by-java.html