Una nueva campaña de malware de varias etapas ataca a más de 1500 usuarios del videojuego con nombre Minecraft con un malware basado en Java en el cual ofrece un Distribution-as-a-Service (DaaS) llamado Stargazers Ghost Network.

El malware remplazaba a Oringo y Taunahi, que son herraminetas de scripts y marcos (también conocidas como cheats). Ambas etapas fueron desarrolladas en JAVA y solo pueden ejecutarse si el entorno de ejecución de Minecraft está instalado en el equipo host.

Objetivo

El objetivo del ataque es engañar a los jugadores del videojuego para que logren descargar un mod de este mismo desde la plataforma de Github y así poder entregar un ladrón de información .NET con amplias capacidades de robo de datos.

Lo que hace que la actividad sea notable es el uso de una oferta ilícita llamada Stargazers Ghost Network, que utiliza miles de cuentas de GitHub para configurar repositorios contaminados que se hacen pasar por software pirateado y trucos de juegos.

Estos repositorios maliciosos, disfrazados de mods del videojuego, sirven como conducto para poder infectar a los usuarios con un Java loader (por exemplo, ‘Oringo-1.8.9.jar’) que permanece sin ser detectado por la mayoria de los antivirus hasta el momento.

JAR

Los archivos JAR implementan técnicas sencillas de anti-VM y anti-análisis para eludir los intentos de detección. Su objetivo principal es descargar y ejecutar otro archivo JAR, un ladrón de segunda etapa que obtiene y ejecuta un ladrón .NET como carga útil final cuando la víctima incia el juego.

El componente de la segunda etapa se recupera de una dirección IP 147[.]45[.]79[.]104 que se almacena en un formato Pastebin codificado en Base64, convirtiendolo esencialmente la herramienta de pegado en un solucionador de punto muerto.

Para hacer uso de los mods del videojuego es necesario almacenar el archivo JAR malicioso en la carpeta de mods del videojuego. Al momento que inicie, este cargará todos los mods de la carpeta, incluido el malicioso, que se descargará y ejecutará la segunda etapa.

Este ladrón de segunda etapa además de descargar el ladrón .NET, también está equipado para robar tokens de Discord y Minecraft, así como datos de Telegram.

.NET

Este ladrón es capaz de recopilar credenciales de vario navegadores web y recopilar archivos e información de monederos de criptomonedas y otras aplicaciones como Steam y FileZilla. También es capaz de tomar capturas de pantalla y recopilar información sobre los procesos en ejecución, la direccion IP externa del sistema y el contenido del portapapeles. Toda la información capturada se transmite al atacante mediante un webhook de Discord.

“En este caso se logra observar la importancia de tener precaución al descargar contenido de terceros y no confiables”

A continuación nuestras recomendaciones para este tipo de amenazas.

Sophos Firewall

Podemos defendernos de estos ataques de malware con las tecnologías de Sophos, que constantemente contienen nuevas actualizaciones para mantenerse al día de nuevos tipos de malware.

PROTECCIÓN WEB:

El motor de protección web de Sophos cuenta con el respaldo de SophosLabs Intelix e incluye innovadoras tecnologías necesarias para identificar y bloquear las últimas amenazas web.

• Protección web avanzada
• Protección contra pharming
• Escaneado de HTTPS
• Control de aplicaciones no deseadas
• SophosLabs

Protección contra amenazas activas:

Sophos Firewall ofrece una respuesta inmediata y automatizada a las amenazas y a los adversarios activos para detenerlos en seco y evitar la propagación lateral.

• Compatible con varios feeds de amenazas, incluidos los de Sophos X-Ops y MDR/XDR
• Bloquea inmediatamente las amenazas activas sin necesidad de reglas de firewall
• Utiliza la Seguridad Sincronizada para aislar automáticamente los endpoints administrados y aportar visibilidad

CONTROL WEB:

Visibilidad y control completos sobre todo el tráfico web con herramientas de aplicación flexibles que funcionan según sus necesidades, con opciones de cumplimiento para actividad, cuotas, programaciones y conformado de tráfico según usuarios y grupos.

• Modelo de políticas de nivel empresarial de puerta de enlace web segura (SWG)
• Compatibilidad con Sophos DNS Protection
• Control de actividades basado en plantillas con políticas predefinidas del lugar de trabajo y de cumplimiento
• Funciones educativas y SafeSearch
• Imposición de tráfico completa
• Conformado de tráfico (QoS)

Sophos Intercept X Endpoint

Sophos Intercept X Endpoint proporciona una protección inigualable, ya que detiene los ataques avanzados antes de que afecten a sus sistemas. Las potentes herramientas de detección y respuesta para endpoints y de detección y respuesta ampliadas (EDR/XDR) permiten a su organización buscar, investigar y responder a actividades sospechosas e indicadores de ataque.

REDUCCIÓN DE LA SUPERFICIE DE AMENAZAS

• Protección web
• Control web
• Reputación de descargas
• Control de aplicaciones
• Control de periféricos
• Prevención de fugas de datos
• Bloqueo de servidor (lista de aplicaciones permitidas)
• Cifrado completo de disco

PREVENCIÓN DE AMENAZAS

• Protección contra archivos de ransomware (CryptoGuard)
• Protección contra el ransomware remoto (CryptoGuard)
• Protección contra el ransomware que ataca el registro de arranque maestro (MBR)
• Defensas contextuales:
  • Protección adaptativa contra ataques
• Defensas contextuales:
  • Advertencias de ataques críticos en toda la infraestructura
• Prevención de malware basada en IA con Deep Learning
• Escaneado de archivos antimalware
• Bloqueo de aplicaciones no deseadas (PUA)
• Búsquedas en la nube de Live Protection
• Análisis de comportamientos
• Antiexploits (+60 mitigaciones)
• Bloqueo de aplicaciones
• Interfaz de escaneado antimalware (AMSI)
• Detección de tráfico malicioso
• Sistema de prevención de intrusiones (IPS)
• Monitorización de integridad de archivos (servidores)