Вредонос Fractureiser использует Minecraft-моды для заражения геймеров

Вредонос Fractureiser использует Minecraft-моды для заражения геймеров

Вредонос Fractureiser использует Minecraft-моды для заражения геймеров

Злоумышленники задействовали популярные платформы Bukkit и CurseForge, специализирующиеся на модах для популярной игры Minecraft. С помощью этих платформ они распространяют вредоносную программу Fractureiser, заточенную под кражу пользовательских данных.

Как отмечают специалисты по кибербезопасности, преступники встраивают вредоносный код в уже существующие проекты модов для Minecraft. Судя по всему, кампания стартовала со взлома нескольких аккаунтов в системах CurseForge и Bukkit.

Впоследствии эти учётные записи использовались для внедрения вредоносного кода в плагины и моды, что помогло атакующим добраться до крупных проектов вроде Better Minecraft, который насчитывает более 4,6 млн загрузок.

Интересно, что вредонос проник во многие наборы модов, которые были защищены двухфакторной аутентификацией. В то же время стоит отметить, что авторы модов оперативно архивировали обновления с пейлоадом, однако они всё равно дошли до пользователей через API.

Список наборов, заражённых Fractureiser, выглядит так:

CurseForge

  • Dungeons Arise
  • Sky Villages
  • Better MC modpack series
  • Fabuously Optimized (позже выяснилось, что не был скомпрометирован)
  • Dungeonz
  • Skyblock Core
  • Vault Integrations
  • AutoBroadcast
  • Museum Curator Advanced
  • Vault Integrations Bug fix
  • Create Infernal Expansion Plus - Mod removed from CurseForge

Bukkit

  • Display Entity Editor
  • Haven Elytra
  • The Nexus Event Custom Entity Editor
  • Simple Harvesting
  • MCBounties
  • Easy Custom Foods
  • Anti Command Spam Bungeecord Support
  • Ultimate Leveling
  • Anti Redstone Crash
  • Hydration
  • Fragment Permission Plugin
  • No VPNS
  • Ultimate Titles Animations Gradient RGB
  • Floating Damage

Среди пострадавших геймеров большую часть составляют те, кто загружал моды с площадки CurseForge и сайта dev.bukkit.org за последние три недели. Тем не менее окончательный масштаб заражения ещё только предстоит узнать.

Что касается самого зловреда Fractureiser, его хорошо разобрали специалисты Hackmd в отчёте. Он заражает систему в четыре шага и пытается выкрасть cookies, сохранённые в браузерах учётные данные, подменять адреса криптовалютных кошельков и т. п. Загрузчик инфостилера детектируется на VirusTotal 19 антивирусными движками.

Windows следит через GDID: как уменьшить цифровой хвост в системе

История с Windows-идентификатором GDID показала одну важную вещь: VPN может меняться, IP-адреса могут прыгать по странам, а сама установка Windows всё равно остаётся узнаваемой для Microsoft. GDID — это постоянный идентификатор устройства, который используется в сервисах компании, лицензировании, Microsoft Store и телеметрии.

Напомним, на днях стало известно, что 19-летнего хакера вычислили по идентификатору Windows. Что нужно сделать, чтоб минимизировать эти риски?

Полностью выключить эту функциональность красивой кнопкой нельзя. Но это не значит, что пользователь совсем беспомощен. Есть несколько способов хотя бы урезать объём данных, которые Windows отправляет наружу.

Первое — использовать локальную учётную запись вместо Microsoft Account. Именно вход через аккаунт Microsoft усиливает связку устройства, сервисов, OneDrive, Store и истории активности. Microsoft всё активнее подталкивает пользователей к онлайн-аккаунтам, но локальный профиль всё ещё остаётся более приватным вариантом.

Второе — отключить историю активности. Для этого нужно открыть Настройки → Конфиденциальность и безопасность → История активности и выключить сохранение истории активности. Да, вместе с этим могут пострадать удобные функции вроде синхронизации между устройствами, Phone Link и облачного буфера обмена. Но приватность почти всегда торгуется за удобство.

Третье — убрать лишнюю диагностику. В Windows 11 это находится в Настройки → Конфиденциальность и безопасность → Диагностика и отзывы. Там стоит отключить отправку опциональных данных отзывов. Базовую телеметрию система всё равно оставит, но хотя бы не будет тащить в Microsoft всё, что ей не обязательно знать.

Четвёртое — почистить фоновые сервисы и функции, которыми вы не пользуетесь: Phone Link, Nearby Share, облачную синхронизацию, лишние ИИ-фишки и автозагрузку. Чем меньше связей с экосистемой Microsoft, тем меньше поводов у системы стучаться наружу.

Важный момент: простая переустановка Windows не решает проблему магически. GDID обновится, но если снова войти в тот же Microsoft Account, новую установку можно связать со старой через аккаунт, активацию и историю сервисов.

RSS: Новости на портале Anti-Malware.ru