Minecraft Oyuncularını Tehdit Eden Kötü Amaçlı Yazılım Kampanyası
Son zamanlarda Minecraft oyuncularını hedef alan büyüklükte bir kötü amaçlı yazılım kampanyası ortaya çıktı. Bu kampanya, oyuncuların cihazlarına zarar veren kötü niyetli modlar ve hilelerin kullanımıyla gerçekleşiyor. Hedefler, özellikle Windows işletim sistemine sahip cihazlar. Check Point Research tarafından keşfedilen bu kampanya, Stargazers Ghost Network adlı bir grup tarafından yürütülüyor ve geniş ölçekli bir hedef kitlesine ulaşmak için Minecraft modlama ekosistemini ve GitHub gibi meşru hizmetleri kullanıyor.
Bu kampanya sayesinde gelişmiş bilgi hırsızları (infostealers) kullanılarak kullanıcıların kimlik bilgileri, iki aşamalı doğrulama token’ları ve kripto para cüzdanları çalınıyor. Check Point araştırmaları, tehdit aktörlerinin kullanıcı cihazlarına gönderilen Payload‘ların Pastebin bağlantıları aracılığıyla dağıtıldığını ortaya koydu. Bu durum, kampanyanın geniş çapta etki gösterdiğini gösteriyor.
Gizli Minecraft Kötü Amaçlı Yazılım
Stargazers Ghost Network, geçen yıldan bu yana GitHub üzerinde aktif olan bir dağıtım servisi (DaaS) operasyonu. Check Point tarafından belgelenen ilk kampanyasında 3,000 hesabın infostealers yaydığı tespit edildi. Bu süreç, sahte GitHub yıldızları ile destekleniyor ve geçtğimiz yıl içinde 17,000 sistemin etkilenmesine yol açan yeni bir Godot tabanlı kötü amaçlı yazılım kullanılarak geliştirildi.
Jaromír Hořejší ve Antonis Terefos tarafından bildirilen en son kampanya, Java tabanlı kötü amaçlı bir yazılımı kullanarak Minecraft’ı hedef alıyor. Bu yazılım, tüm antivirüs motorlarından kaçmayı başarıyor. Araştırmacılar, Stargazers tarafından işletilen çok sayıda GitHub deposu tespit etti ve bunlar, Minecraft modları ve hileleri gibi göz alıcı isimler taşıyor. Örnekler arasında Skyblock Extras, Polar Client, FunnyMap, Oringo ve Taunahi yer alıyor.
Terefos, "Yaklaşık 500 GitHub deposu tespit ettik, bunlar fork veya kopyalanmış olanlar da dahil," diye konuştu. Bunlardan yaklaşık 70 hesabın oluşturduğu 700 civarı sahte yıldız da gözlemlendi.
Enfeksiyon Zinciri ve Çalma Süreci
Kötü amaçlı yazılımın çalıştırılması üzerine, ilk aşama JAR yükleyici, Pastebin üzerinden base64 kodlu URL kullanarak sonraki aşamayı indiriyor. Bu aşama, Java tabanlı bir bilgi hırsızı olan Minecraft hesap token’larını ve kullanıcı verilerini hedef alıyor. Sadece Minecraft‘ın kendi başlatıcısını değil, popüler üçüncü taraf başlatıcılarını da (örneğin Feather, Lunar, ve Essential) etkiliyor.
Bu bilgi hırsızı, aynı zamanda Discord ve Telegram hesap token’larını çalmayı da deniyor ve çalınan verileri HTTP POST isteği ile saldırganın sunucusuna gönderiyor. Java tabanlı hırsız, sonraki aşama olan .NET tabanlı hırsızı olan ’44 CALIBER’ için bir yükleyici işlevi görüyor. Bu aşama, daha "geleneksel" bir bilgi hırsızı işlevi görerek web tarayıcılarında saklanan bilgileri, VPN hesap verilerini, kripto para cüzdanlarını ve diğer uygulamalarda (örneğin Steam, Discord) saklanan bilgileri çalmaya çalışıyor.
44 CALIBER, sistem bilgilerini ve pano verilerini toplayabiliyor ve kurbanın bilgisayarından ekran görüntüleri alabiliyor. Araştırmacılar, "Zararverici kodun deobfuscation (karmaşık kodun çözümlenmesi) işlemi sonrası, hırsızın tarayıcıdan çaldığı çeşitli kimlik bilgilerini gözlemleyebiliyoruz," diyerek uyardı.
Kendinizi Nasıl Korursunuz?
Bu gibi tehditlerle başa çıkabilmek için, Minecraft oyuncularının güvenilir platformlardan ve onaylı topluluk portallarından modlar indirmesi önerilmektedir. Eğer GitHub üzerinden bir indirme yapmanız gerekiyorsa, o deponun ne kadar yıldız aldığını, fork ve katkıcı sayısını kontrol etmelisiniz. Ayrıca, belirli bir repo üzerindeki son aktiviteleri dikkatlice incelemek de yararlıdır.
Son olarak, modları test ederken ayrı bir “yakarak kullanıma” (burner) hesabıyla denemeler yapmak, ana hesabınıza erişiminizi sağlamanın en güvenli yoludur. Tehditlerin bu kadar gelişmiş hale geldiği günümüzde, her zaman dikkatli olmak ve güvenliği önceliklendirmek hayati önem taşımaktadır.
