Uma sofisticada campanha de malware em múltiplos estágios tem como alvo jogadores de Minecraft, explorando o interesse por mods e trapaças para disseminar um ladrão de informações altamente evasivo. A ofensiva, descoberta por pesquisadores da Check Point, utiliza a rede clandestina Stargazers Ghost Network, que se aproveita de milhares de contas no GitHub para distribuir mods maliciosos disfarçados de ferramentas como “Oringo” e “Taunahi”. Esses arquivos, desenvolvidos em Java, só funcionam se o Minecraft estiver instalado no dispositivo da vítima, tornando os ataques altamente direcionados.

Ao executar o suposto mod, um carregador Java entra em ação e descarrega uma segunda etapa que busca um ladrão de informações .NET armazenado em um endereço codificado via Pastebin. Essa carga final é capaz de roubar credenciais de navegadores, tokens do Discord, Telegram, dados de jogos como Steam e até carteiras de criptomoedas.

Estima-se que mais de 1.500 dispositivos tenham sido comprometidos, com o malware coletando informações sensíveis e as exfiltrando para os hackers via webhooks do Discord. Indícios apontam para a atuação de um invasor de origem russa, com base no idioma dos artefatos e fuso horário das atividades.

O caso evidencia como comunidades de jogos populares continuam sendo exploradas como vetores de infecção, aproveitando-se da confiança dos usuários em repositórios públicos como o GitHub. Segundo os especialistas, foram identificados mais de 500 repositórios maliciosos e 70 contas envolvidas, com técnicas de ofuscação que dificultam a detecção por ferramentas antivírus.

As vítimas são levadas a acreditar que estão baixando recursos legítimos para personalizar sua experiência no jogo, quando na verdade estão instalando um backdoor completo em suas máquinas.

Em paralelo, a empresa Palo Alto Networks detalhou novas variantes do KimJongRAT, um ladrão de dados com histórico ligado ao governo norte-coreano. As novas versões, distribuídas por meio de arquivos PowerShell e executáveis Windows, continuam evoluindo em sofisticação, explorando serviços legítimos de CDN para entregar cargas maliciosas.

Esses avanços evidenciam uma tendência preocupante de adaptação por parte dos desenvolvedores de malware, que ampliam seu arsenal e refinam seus métodos de distribuição e evasão, mantendo-se ativos no cenário internacional de ciberameaças.

Via - THN