Minecraft Kullanıcılarını Hedef Alan Kötü Amaçlı Yazılım Tehditleri
Son zamanlarda Minecraft kullanıcılarını hedef alan yeni bir çok aşamalı kötü amaçlı yazılım kampanyası dikkatleri çekiyor. Bu kampanya, Java tabanlı bir kötü amaçlı yazılım olan ve Stargazers Ghost Network adını taşıyan bir dağıtım-as-a-service (DaaS) hizmeti ile yürütülüyor. Check Point araştırmacıları, bu tehdidin detaylarını paylaştıklarında, özellikle Minecraft oyuncularını hedef alan bir saldırı zincirinin bulunduğunu vurguladılar.
Kötü Amaçlı Yazılım Nasıl Çalışıyor?
Bu kötü amaçlı yazılım, Oringo ve Taunahi adındaki sahte yazılımları taklit ederek oyuncuları kandırmayı başarmaktadır. Bu yazılımlar, Minecraft oyununa entegre edilen sahte modlar gibi görünmektedir. İlk iki aşama Java dilinde geliştirildiği için, yalnızca Minecraft runtime’ı yüklü olan makinelerde çalıştırılabiliyor. Kampanyanın nihai amacı, oyuncuları GitHub’dan bir Minecraft modu indirmeye yönlendirmek ve bu süreçte kapsamlı veri hırsızlığı yapabilen bir .NET bilgi hırsızı kullanmaktır.
Hedeflenen Kullanıcılar ve Dağıtım Ağı
Bu aktivitelerin dikkat çekici yanı, Stargazers Ghost Network adlı yasadışı bir sunucunun kullanılmasıdır. Bu ağ, binlerce GitHub hesabını kullanarak sahte yazılımlar ve oyun hileleri gibi görünen kötü amaçlı havuzlar kurmaktadır. Bu havuzlar, kullanıcıların popüler video oyunu için Java loader’ları (örneğin, "Oringo-1.8.9.jar") ile enfekte edilmesine zemin hazırlamaktadır. Şu anda bu Java araçları, tüm antivirüs motorları tarafından tespit edilememektedir.
Java arşiv (JAR) dosyaları, basit anti-VM ve anti-analiz teknikleri kullanarak tespit edilmeyi engellemektedir. Ana hedefleri ise kullanıcıdan başka bir JAR dosyasını yükleyip çalıştırmaktır. İkinci aşamaya ait bu bileşen, bir IP adresinden (örneğin, "147.45.79.104") alınmakta ve bu IP adresi Base64 kodlaması ile Pastebin üzerinde saklanmaktadır. Böylece, bu sahte Pastebin aracı ölü düşürme işlevi görmektedir.
Tehditin Yayılımı ve Etkileri
Minecraft‘a mod eklemek isteyen kullanıcılar, kötü amaçlı JAR dosyasını kendi modlar klasörüne kopyalamak zorundadır. Oyun başlatıldığında, Minecraft tüm modları bu klasörden yükler ve kötü amaçlı mod, ikinci aşama bileşenini indirip çalıştırır. İkinci aşama bileşeni, kullanıcıların Discord ve Minecraft token’larını çalmaya ek olarak Telegram ile ilgili verileri de hedef alır.
.NET hırsızı, çeşitli web tarayıcılarından kimlik bilgilerini çalmanın yanı sıra, kripto para cüzdanlarından ve Steam gibi diğer uygulamalardan dosya ve bilgi toplamaktadır. Ayrıca, ekran görüntüleri alabilir ve sistemin dış IP adresi ile panodaki içerikler hakkında bilgi toplayabilir. Toplanan bilgiler, sonunda bir Discord webhook aracılığıyla saldırgana iletilmektedir. Bu kampanyanın, Rusça konuşan bir tehdit aktörü tarafından yürütüldüğü düşünülmektedir; çünkü birçok delil Rusça yazılmıştır ve saldırganın aktarımları UTC+03:00 zaman diliminde kayıt altına alınmıştır. Tahminlere göre, bu planın kurbanı olan 1,500’den fazla cihaz mevcuttur.
Kullanıcı Bilinçlendirmesi ve Güvenlik Önlemleri
Bu durum, popüler oyun topluluklarının kötü amaçlı yazılımların dağıtımında nasıl etkili bir araç olarak kullanılabileceğini açıkça göstermektedir. Üçüncü parti içerikler indirirken dikkatli olmanın önemine vurgu yapılmıştır. Stargazers Ghost Network, bu oyun modlarını arayan Minecraft oyuncularını hedef alarak bu kötü amaçlı yazılımı yaymakta ve masum göründüğü iddia edilen indirmelerin, Java tabanlı loader’lar ile iki ek hırsızın dağıtımını sağladığı belirtilmektedir.
KimJongRAT Hırsızlarının Yeni Varyantları
Bu bağlamda, son günlerde Palo Alto Networks Unit 42, KimJongRAT adında bir bilgi çalıcının iki yeni varyantını daşıştığına dair detaylar vermiştir. Bu varyantların, BabyShark ve Stolen Pencil gibi başka saldırılarla bağlantılı olduğuna dair bulgular vardır. KimJongRAT, aslen 2013 yılından beri mevcut olup, büyüyen tehdit unsurlarından biri haline gelmiştir.
Yeni varyantlardan biri Portable Executable (PE) dosyası kullanırken, diğeriyse PowerShell uygulaması ile çalışmaktadır. Her iki varyant da bir Windows kısayol dosyası ile başlatılmakta ve saldırgan kontrolündeki bir içerik dağıtım ağı (CDN) hesabından indirme işlemi gerçekleştirmektedir. PE varyantının dropperi bir yükleyici, bir sahte PDF ve bir metin dosyası dağıtırken, PowerShell varyantı sahte PDF dosyası ile birlikte bir ZIP arşivi sunmaktadır.
Sonuç
Devam eden bu kötü amaçlı yazılım faaliyetleri, bilinçsiz kullanıcıların büyük tehditlerle karşılaşmasına yol açmaktadır. Hem Minecraft hem de diğer online platformlarda kullanıcıların dikkatli ve bilinçli olması, böyle tehditlerin önlenmesi adına kritik öneme sahiptir.
