近日遊戲社群中其中一個話題是在《Minecraft》的模姐內找到名為Fractureiser的惡意程式,這些模組在多個知名的遊戲網站之內,暫時玩家都不建議在相關網站下載新的.jar檔案,而受影響的只有Windows和Linux遊戲版本,似乎其他OS暫時安全。
惡意程式進入模組的方法
根據初始假設,不知名網絡犯罪份子入侵了CurseForge.com和dev.bukkit.org的模組開發者的帳號,令他們能把惡意編碼放入不同的模組內。然而,Prism Launcher開發者懷疑,有人可能利用Overwolf平台的未知安全漏洞,並同時列出受到Fractureiser感染的模組清單。
甚麼是Fractureiser惡意程式?
根據報告,當安裝了被「加料」的模組然後啟動遊戲後,惡意編碼便會從遠端伺服器下載和執行額外的惡意內容,創建資料夾和腳本,更改系統registry令惡意程式在重啟後執行。有獨立研究員指出,在攻擊的最後階段惡意程式嘗試擴散感染所有電腦內的.jar檔案,惡意程式也能盜竊cookie檔案和儲存在瀏覽器內的登入憑證,另外也能在剪貼板上切換加密錢包的地址。
從Reddit上的討論暫時得到結論,如果出現libWebGL64.jar檔案便可視為感染的跡象,惡意程式會把檔案建立%LOCALAPPDATA%/Microsoft Edge/ or /AppData/Local/Microsoft Edge/資料夾中,必需設定顯示隱藏檔案,並關閉「Hide protected operating system files」。
盡快檢查自己的電腦
如果你是《Minecraft》玩家又使用第三方的修改,便應該盡快使用可靠的防毒軟件檢查自己的電腦,一旦偵測並刪除惡意程式,也不要忘記更改從該電腦存取網上資源所用到的密碼。同時留意新聞,在事件得到解決前避免安裝新的模組,不過如果是平台遭到入侵,攻擊者便可能尋找其他方法進行感染。
資料來源:Kaspersky Blog
