Accueil » , » Cyber-attaque de Stargazers sur Minecraft

Cyber-attaque de Stargazers sur Minecraft

Aucun commentaire
Cyber-attaque

Contexte et surface de l’attaque

Les cibles principales de cette campagne sont les joueurs du célèbre jeu Minecraft, attirés par des mods censés améliorer l’expérience de jeu (comme des cheats ou des addons). L’objectif malveillant est d’installer un infostealer sur les dispositifs Windows, capable de récupérer mots de passe, tokens d’authentification et même des portefeuilles de cryptomonnaie. Pour cela, les attaquants proposent ces mods sur des plateformes populaires, notamment des forums, des sites alternatifs ou encore Discord, souvent sous une apparence légitime.

Méthodologie du malware

Le mode opératoire des « Stargazers » se déroule en plusieurs phases. D’abord, l’utilisateur installe un mod Minecraft falsifié, apparemment légitime, mais qui contient du code malveillant. Ce code contacte ensuite un serveur distant (C2) pour télécharger un fichier nommé dl.jar, qui sert de passerelle. Le malware s’installe ensuite de façon persistante sur Windows via la clé de registre Run, ou sur Linux via un service systemd. Un second composant, appelé client.jar ou hook.dll, est ensuite exécuté. Ce dernier, fortement obfusqué, est chargé de voler les données sensibles de l’utilisateur. Il recherche les cookies et identifiants dans les navigateurs, intercepte les tokens Minecraft, Microsoft ou Discord, altère les adresses cryptographiques copiées dans le presse-papier, se réplique dans d’autres fichiers Java pour se propager, et met en place un système de mise à jour automatique pour se maintenir actif.

Domaines touchés et vecteurs de distribution

Les plateformes de distribution utilisées par les cybercriminels incluent des sites communautaires de fans, des forums de jeux vidéo, des groupes Discord et des sites de mods tiers. Les fichiers malveillants sont souvent déguisés en outils recherchés, comme des cheats ou des améliorations esthétiques, parfois même inspirés de mods existants. La campagne vise un large public de joueurs, souvent jeunes et peu méfiants, attirés par des fonctionnalités interdites ou premium gratuites.

Risques encourus par les victimes

Les conséquences d’une infection par ce malware sont particulièrement graves. Le voleur d’informations est capable de compromettre de nombreux comptes, notamment ceux liés à Microsoft (utilisés pour Minecraft), Discord, ainsi que les navigateurs web. Il peut aussi détourner des transactions cryptographiques en modifiant les adresses copiées dans le presse-papier. Par ailleurs, les données personnelles comme les cookies, historiques de navigation ou sessions actives sont également exposées. Enfin, en se répliquant dans d’autres fichiers Java présents sur le système, le malware augmente considérablement son impact et sa longévité.

Mécanismes de persistance et mise à jour

Pour assurer sa persistance sur les systèmes infectés, le malware ajoute une clé dans le registre Windows ou installe un service sur Linux. Il télécharge régulièrement des composants depuis un serveur distant via un script de mise à jour. De plus, il analyse les dossiers de l’utilisateur à la recherche de fichiers JAR dans lesquels il peut s’injecter pour se relancer automatiquement, même après une tentative de suppression manuelle.

Recommandations de sécurité

Pour se protéger contre cette menace, il est impératif d’éviter les mods Minecraft provenant de sources non officielles. Il est recommandé de limiter ses téléchargements au launcher Minecraft officiel ou à des plateformes reconnues et vérifiées. Il convient également de scanner régulièrement son système avec un anti-malware fiable, capable de détecter les infostealers Java. En cas d’infection suspectée, il est conseillé de réinstaller complètement le système, de modifier tous ses mots de passe, de révoquer les sessions actives et de sécuriser ses portefeuilles de cryptomonnaies avec de nouvelles clés. Enfin, activer la double authentification (MFA) sur tous les comptes sensibles constitue une mesure préventive essentielle.

En résumé

La campagne Stargazers constitue un exemple concret d’attaque par la chaîne d’approvisionnement logicielle, où le vecteur malveillant se dissimule dans des contenus tierce partie apparemment inoffensifs. Elle met en lumière la facilité avec laquelle des cybercriminels peuvent exploiter l’enthousiasme des joueurs pour propager des logiciels espions sophistiqués. Il est donc crucial, même dans un contexte ludique, de rester vigilant, de ne jamais baisser la garde et de faire preuve d’un strict discernement dans le choix des outils téléchargés.

Source : Bleeping Computer - 'Stargazers' use fake Minecraft mods to steal player passwords

Partager sur :

Aucun commentaire:

Enregistrer un commentaire

Populaires

Tags