مودهای Minecraft دانلود شده از چندین وب سایت محبوب بازی، حاوی بدافزار خطرناکی هستند. آنچه تاکنون می دانیم.
جامعه گیمرها بهطور فعال درباره اخبار مربوط به بدافزاری با نام Fractureiser ، که در مودهای Minecraft یافت شده است بحث میکند. این بدافزار از CurseForge و dev.bukkit.org دانلود شده است. به گیمرها توصیه میشود که فایلهای jar جدید را از آن سایتها دانلود نکنند. هر کسی که اخیراً این کار را انجام داده است باید رایانه های خود را با راه حل های ضد بدافزار بررسی کند. این بدافزار بر بازیکنان نسخههای بازی ویندوز و لینوکس تأثیر میگذارد (به نظر میرسد کاربران سایر سیستمعاملها ایمن هستند).
این بدافزار چگونه وارد مودها شده است؟
طبق فرضیه اولیه، مجرمان سایبری ناشناس حساب های توسعه دهندگان مود در CurseForge.com و dev.bukkit.org را به خطر انداختند. این موضوع به آنها اجازه داد تا کدهای مخرب خود را در چندین حالت قرار دهند.
با این حال، توسعه دهندگان Prism Launcher مشکوک هستند که ممکن است شخصی از یک آسیب پذیری ناشناخته در پلتفرم Overwolf سوء استفاده کرده باشد. آنها همچنین لیستی از مودهای آلوده به fractureiser را منتشر کردند.
بدافزار fractureiser چیست و چه کار میکند؟
علاقه مندان گزارش داده اند که پس از نصب مود و راه اندازی بازی، کدهای مخرب را از سرور راه دور دانلود و اجرا می کند. این پیلود شروع به ایجاد پوشه ها و اسکریپت ها می کند و تغییراتی را در رجیستری سیستم ایجاد می کند تا پس از راه اندازی مجدد بدافزار اجرا شود.
محققان مستقل اینگونه بیان میکنند که در مرحله نهایی حمله، بدافزار تلاش میکند تا آلودگی را به همه فایلهای jar در رایانه گسترش دهد (ظاهراً تلاش میکند به همه مودهای دانلود شده قبلی دسترسی پیدا کند). این بدافزار همچنین می تواند فایل های کوکی و اعتبار ذخیره شده در مرورگرها را نیز سرقت کند. علاوه بر این، میتواند آدرسهای کیف پول دیجیتال را در کلیپ بورد تغییر دهد.
علائم آلودگی Fractureiser:
بحث به این نتیجه رسید که وجود فایل libWebGL64.jar ممکن است نشانه قطعی آلودگی در نظر گرفته شود. بدافزار این فایل را در پوشه %LOCALAPPDATA%/Microsoft Edge/ یا /AppData/Local/Microsoft Edge/ ایجاد میکند. برای یافتن این فایل باید به منوی "Folder options" بروید (از طریق "View"، سپس "Options" در Windows File Explorer) و گزینه "Show hidden files, folders, and drives" را فعال کنید و "Hide protected" را غیرفعال کنید. فایلهای سیستمعامل» را در تب «View» تنظیم کنید.
چگونه ایمن بمانیم؟
اگر Minecraft بازی می کنید و از تغییرات شخص ثالث استفاده می کنید، احتمالاً اولین کاری که باید انجام دهید این است که رایانه شخصی خود را با یک نرم افزار آنتی ویروس قابل اعتماد بررسی کنید. اگر اسکن بدافزار را شناسایی و حذف کرد، ایده خوبی است که همه رمزهای عبور منابع آنلاینی که از این رایانه به آنها دسترسی داشته اید تغییر دهید.
همچنین، توصیه می کنیم اخبار را دنبال کنید و از نصب مودهای جدید برای Minecraft خودداری کنید تا زمانی که وضعیت حل شود (ما فقط در مورد مودهایی که مستقیماً از سایت های فوق بارگیری می شوند صحبت نمیکنیم: عاقلانه است که آنها را از طریق نرم افزار شخص ثالث نیز نصب نکنید). مودها، افزونهها و افزونههای بازیهای دیگر که به همین روش توزیع میشوند، به نظر نمیرسد تحت تأثیر این حمله قرار بگیرند. با این حال، اگر کانال تحویل واقعاً به خطر بیفتد، این امکان وجود دارد که مهاجمان از روشهای جایگزین آلودگی استفاده کنند و بازیکنان سایر بازیها را نیز به خطر بیندازند.
به عنوان یک قاعده کلی، تغییرات بازی توسط علاقه مندان ایجاد شده و بر روی پلتفرم های مستقل میزبانی می شوند. بنابراین، توسعه دهندگان بازی مسئولیتی در قبال امنیت آنها ندارند و ایمنی استفاده از آنها را تضمین نمی کنند. بنابراین بهتر است مودهای بازی را فقط در رایانه هایی که بر روی آنها راه حل های امنیتی نصب شده دانلود کنید.
منبع: https://www.kaspersky.com/blog/curseforge-compromised-fractureiser/48388
ترجمه توسط اورجینال کی: https://original-key.com
