حملة برمجيات خبيثة تستهدف لاعبي ماينكرافت عبر تعديلات مزيفة

كشف باحثو الأمن السيبراني في شركة Check Point عن حملة برمجيات خبيثة معقدة متعددة المراحل، تستهدف لاعبي لعبة ماينكرافت (Minecraft) باستخدام برمجيات تعتمد على لغة جافا، وتُوزع عبر شبكة تُعرف باسم Stargazers Ghost Network، وهي نموذج يُصنف ضمن التوزيع كخدمة (DaaS).

أدوات الغش كطُعم للهجوم

وفقًا لتقرير الباحثين يارومير هورجشي وأنتونيس تيريفوس، فإن البرمجية الخبيثة تتنكر في هيئة أدوات غش تُعرف باسم Oringo وTaunahi، وهي أدوات تعتمد على جافا وتُستخدم لتعديل أسلوب اللعب. لا يمكن تشغيل هذه البرمجيات إلا في حال وجود بيئة ماينكرافت مثبتة على جهاز الضحية.

تسلسل الهجوم متعدد المراحل

يتكون الهجوم من ثلاث مراحل رئيسية:

المرحلة الأولى:

تحميل ملف بصيغة .jar (مثل Oringo-1.8.9.jar) من مستودع GitHub مزيف.

المرحلة الثانية:

يقوم الملف الأول بتحميل ملف JAR آخر يقوم بتحميل وتشغيل برمجية خبيثة إضافية.

المرحلة الثالثة:

تحميل وتنفيذ أداة سرقة معلومات (.NET Stealer) قادرة على سرقة بيانات حساسة.

شاهد ايضا :-

• الروبوتات واستكشاف الفضاء: خبرات د. روبرت أمبروز من ناسا إلى التطبيقات التجارية
• التقنيات والتكنولوجيا المستخدمة في الدراما الهندية والمسلسلات والأفلام
• تزايد استخدام الذكاء الاصطناعي في العمل رغم تحديات الفجوة بين الأداء والتطبيق

آلية العدوى

يتطلب تفعيل الهجوم من المستخدم أن يقوم يدويًا بنقل ملف .jar الخبيث إلى مجلد mods الخاص بلعبة ماينكرافت. وعند تشغيل اللعبة، يقوم محرك اللعبة بتحميل جميع الإضافات تلقائيًا، مما يسمح بتنفيذ الشيفرة الخبيثة.

خصائص البرمجية الخبيثة

• تتجاوز أدوات الحماية باستخدام تقنيات مضادة لتحليل الأنظمة الافتراضية (Anti-VM).

• تخزن عنوان المرحلة التالية مشفرًا بصيغة Base64 على موقع Pastebin وتستخدمه كقناة لاستدعاء الشيفرة النهائية.

• تقوم بسرقة:

  • رموز المصادقة الخاصة بماينكرافت وديسكورد وتيليغرام.

  • بيانات الاعتماد من المتصفحات.

  • معلومات من محافظ العملات الرقمية.

  • بيانات التطبيقات مثل Steam وFileZilla.

  • لقطات شاشة، والعمليات الجارية، وعنوان IP الخارجي، ومحتوى الحافظة (Clipboard).

يتم إرسال كل هذه البيانات المجمعة إلى المهاجم عبر webhook على منصة ديسكورد.

النطاق الجغرافي والمصدر المحتمل

تشير الأدلة الرقمية إلى أن هذه الحملة مصدرها جهة تهديد ناطقة باللغة الروسية، بناءً على وجود دلائل لغوية ومناطق زمنية UTC+03:00 في الأنشطة البرمجية.

تُشير التقديرات إلى أن أكثر من 1,500 جهاز قد تعرض للإصابة حتى الآن.

تحذير الباحثين: “المجتمعات الإلكترونية المرتبطة بالألعاب أصبحت هدفًا فعّالًا لتوزيع البرمجيات الخبيثة، مما يستدعي مزيدًا من الحذر عند تحميل المحتوى من مصادر غير رسمية.”

تحليل إضافي: KimJongRAT يعود بإصدارات جديدة

في سياق متصل، كشفت شركة Palo Alto Networks (وحدة 42) عن وجود نسختين جديدتين من برمجية KimJongRAT، المرتبطة بهجمات سابقة مثل BabyShark وStolen Pencil.

تفاصيل المتغيرات الجديدة:

• النسخة الأولى: ملف PE يتم تشغيله عبر اختصار LNK في ويندوز، يقوم بتنزيل ملف مزيف (PDF) إضافة إلى برنامج تحميل خفي.

• النسخة الثانية: تعتمد على PowerShell وتُسلم ملفات مضغوطة تحتوي على سكريبتات، وبرمجيات تجسس، ومسجل ضغطات مفاتيح.

كلا النسختين تستهدف:

• بيانات المتصفحات.

• محافظ العملات الرقمية.

• حسابات FTP والبريد الإلكتروني.

• ملفات الضحية وأجهزته.

تعليق الباحث الأمني دومينيك رايشيل: “هذه الإصدارات الجديدة تؤكد استمرار التهديد وتطور أساليب توزيع KimJongRAT، خصوصًا مع استغلال خوادم CDN شرعية.”

تشكل هذه الحملة تهديدًا حقيقيًا لمجتمعات الألعاب المفتوحة مثل ماينكرافت، حيث يتم استغلال الثقة في التعديلات البرمجية لتوزيع أدوات خبيثة متطورة قادرة على جمع بيانات حساسة من أجهزة المستخدمين.