De acordo com o relatório da Check Point Research, já foram detetados mais de 1.500 dispositivos comprometidos por esta campanha maliciosa. O número poderá crescer significativamente, dado o alcance global do Minecraft, que conta com mais de 204 milhões de jogadores ativos todos os meses. Um dado particularmente preocupante é o facto de cerca de 65% destes utilizadores terem menos de 21 anos, um grupo etário geralmente mais vulnerável a ataques deste tipo.
A operação criminosa está a ser atribuída à rede russa Stargazers Ghost Network, que tem utilizado plataformas legítimas, como o GitHub, para enganar os jogadores. Os atacantes criaram mais de 500 repositórios falsos, onde disponibilizam mods que prometem novas funcionalidades ou vantagens no jogo, mas que na verdade servem para disseminar o malware.
A campanha de ataque desenrola-se em três fases distintas, explicou a Check Point num comunicado. Na primeira fase, o jogador descarrega um ficheiro comprimido que aparenta ser um mod inofensivo. Assim que o ficheiro é aberto, o código malicioso verifica se o dispositivo está protegido por um sistema de análise ou de segurança. Se não detetar barreiras, o vírus avança para a segunda fase.
Nesta etapa, é instalado o programa Infostealer, que começa a recolher informações sensíveis do dispositivo da vítima. Por fim, na fase mais perigosa, o ataque ativa um programa denominado 44 CALIBER. Este software malicioso consegue extrair dados importantes de navegadores de internet e de aplicações amplamente utilizadas pelos jogadores, como Discord, Steam e Telegram. Além disso, tem capacidade para aceder às carteiras de criptomoedas armazenadas nos dispositivos infetados.
Para dificultar a deteção do roubo de dados, os criminosos utilizam o próprio Discord para enviar a informação recolhida, disfarçando o tráfego malicioso como parte da utilização normal da aplicação. Este método torna o ataque quase invisível aos olhos das vítimas e dos sistemas de segurança convencionais.
Segundo a investigação da CPR, os cibercriminosos têm apostado em repositórios com nomes de mods populares entre os jogadores de Minecraft, como Oringo e Taunahi. Estes mods são conhecidos por permitir cheats e funcionalidades adicionais no jogo, o que os torna especialmente apetecíveis para os utilizadores mais jovens e menos cautelosos.
«A investigação da CPR revela que os cibercriminosos têm estado a usar repositórios falsos com nomes de mods populares como Oringo ou Taunahi, aproveitando-se da procura por funcionalidades adicionais para propagar o malware de forma silenciosa», pode ler-se no comunicado da empresa de cibersegurança.
A Check Point Research alerta para a necessidade de reforçar as precauções no momento de descarregar mods ou outras extensões para o jogo. Os especialistas aconselham os jogadores a evitarem instalar mods de fontes não verificadas e a desconfiarem de qualquer ferramenta que prometa cheats ou automatismos. Além disso, recomendam manter os sistemas de segurança dos dispositivos sempre atualizados e seguir um princípio básico de prudência: «se parece bom demais para ser verdade, provavelmente é».
O caso expõe, uma vez mais, como os videojogos populares se tornaram alvo preferencial de redes de cibercrime, que tiram partido da grande base de utilizadores e da procura por vantagens no jogo para disseminar as suas campanhas maliciosas.
