게이머 데이터를 훔치는 가짜 마인크래프트 모드 사용

마인크래프트 플레이어들이 이제 게임 모드로 위장한 고도화된 사이버 공격의 표적이 되고 있습니다.

Check Point 연구원들은 해커들이 Oringo와 Taunahi와 같은 인기 도구처럼 가장하여 GitHub를 통해 가짜 수정을 배포하고, 다단계 악성 소프트웨어 체인을 확산시키고 있다는 사실을 발견했습니다. Stargazers Ghost Network은 Minecraft를 실행하는 시스템을 대상으로 한 Java 기반 악성 소프트웨어를 사용합니다.

연구자 Jaromír Hořejší와 Antonis Terefos는 이 은밀하고 매우 특정적인 작전이 이 가짜 모드를 사용하여 플레이어들이 안티바이러스 소프트웨어가 감지하기 어려운 악성 소프트웨어를 설치하도록 속이는 방법을 설명하였습니다.

공격은 자바 기반의 가짜 모드로 시작되어, 이는 다운로더 역할을 합니다. 악성 소프트웨어가 활성화되면, 두 번째 단계의 자바 기반 악성 소프트웨어를 다운로드하고, 이후에는 세 번째 단계인 .NET 기반의 스틸러를 다운로드합니다. 체인 내의 마지막 악성 소프트웨어는 디스코드와 텔레그램 토큰, 마인크래프트 인증 정보, 그리고 암호화폐 지갑과 같은 민감한 정보를 훔칩니다. 또한 스크린샷을 캡처하고 클립보드 활동을 모니터링합니다.

Check Point에 따르면, 가상 기계나 분석 소프트웨어의 존재를 감지하면 해당 악성 코드는 실행을 중단합니다. Minecraft가 실행되어야만 작동하기 때문에 감추어진 상태가 강화되며, 일반적인 스캔 도구로부터 경고를 유발할 가능성이 줄어듭니다.

해커 그룹은 시간대 데이터와 러시아어 파일 유물을 기반으로 러시아어를 사용하는 것으로 보입니다. “JoeBidenMama”와 “P1geonD3v”라는 사용자 이름을 사용하는 공격자들은 Pastebin과 GitHub에 반복적으로 악성 코드를 업로드하였습니다.

전 세계적으로 월 200백만명 이상이 마인크래프트를 즐기는 가운데, 게임 모드 커뮤니티가 말웨어 공격에 점점 더 취약해지고 있음을 연구자들이 경고하고 있습니다. 연구팀은 게이머들에게 제 3자 모드를 다운로드할 때 극도의 주의를 기울일 것을 조언합니다.

체크포인트는 엔드포인트 보호를 사용하고, 특히 너무 좋아 보이는 편법이나 개선 사항을 제공하는 신뢰할 수 없는 소스로부터의 모드 다운로드를 피할 것을 권장합니다.