Actualización del 9 de junio:
La muestra más antigua que hemos podido rastrear hasta ahora (e69b50d1d58056fc770c88c514af9a82) muestra el malware en su fase inicial de desarrollo. Fechado el 2023-04-12, parece una muestra de fase 2 con la dirección de C&C configurada en 127.0.0.1, lo que nos hace pensar que se utilizó para pruebas. También incluye funcionalidades limitadas que actualmente están disponibles en las muestras de la Etapa 3 (sólo escucha comandos del SO (ejecutados con exec) ), lo que refuerza nuestra suposición de que el malware estaba en desarrollo en ese momento.
También nos dimos cuenta de que el paquete Java tenía un nombre diferente en abril ( dev.sirlennox.nekoclient en lugar de dev.neko.nekoclient).
También identificamos varios ejecutables (NekoInstaller/NekoService), como describen a continuación:
- • NekoInstaller contiene un archivo ejecutable portátil llamado NekoServices; al ejecutarlo, coloca el archivo ejecutable en C:\Program Files\nekoservice\ServiceHost.exe y lo agrega como un servicio llamado NekoService para que se ejecute;
- • NekoService contiene un archivo JAR como recurso; descargará un JRE y ejecutará el archivo JAR; el archivo JAR se deposita en C:\Program Files\nekoservice\service.jar
- • el archivo JAR parece ser una muestra de la fase 2
- • el tiempo de compilación del encabezado MZ para la mayoría de estas muestras oscila entre 2023-04-20 18:20:06 y 2023-05-01 22:17:25, y sólo se identificó una muestra compilada el 2023-05-21 07:58:12, lo que significa que el malware estaba en desarrollo en ese periodo de tiempo.
- • Basándonos en estas pruebas, parece que los atacantes planearon inicialmente distribuir archivos EXE en lugar de JAR, pero no hemos podido evaluar si los archivos EXE se han diseminado en la naturaleza o no.
Artículo inicial:
Varios mods y plugins de Minecraft alojados en las comunidades de modding CurseForge y Bukkit han sido contaminados con un malware infostealer multietapa y multiplataforma llamado Fractureiser, según muestra una investigación preliminar.
Varias cuentas de CurseForge y Bukkit han sido comprometidas y utilizadas para publicar actualizaciones de mods y plugins manipuladas con malware sin el conocimiento del autor original. Estos mods se han colado en modpacks populares que se han descargado varios millones de veces hasta la fecha.
El malware tiene 4 fases, de la 0 a la 3. La etapa 0 se considera el mod o plugin modificado para incluir código ofuscado que se conecta a http://85.217.144.130:8080/dl para descargar el malware de la etapa 1.
El malware de la Etapa 1 se presenta en forma de un archivo dl.jar con una suma SHA-1 de dc43c4685c3f47808ac207d1667cc1eb915b2d82. El malware de la Etapa 1 incluye un mutex para evitar que se ejecute varias veces, y parece responsable de infectar otros archivos JAR, establecer la persistencia y ponerse en contacto con el servidor de mando y control para preparar el despliegue de la Etapa 2.
La fase 2 (lib.jar o libWebGL64.jar) actúa como descargador y actualizador de la carga útil final en la fase 3.
La etapa 3 trae la carga útil final, en forma de un archivo jar que incluye un binario nativo llamado hook.dll. Hook.dll expone dos funcionalidades que son llamadas desde código Java: retrieveClipboardFiles - para recuperar descriptores de archivos del portapapeles, usados para la técnica de escape de la máquina virtual (detallada más abajo), así como retrieveMSACredentials para recuperar credenciales de Microsoft Live.
Lo que sabemos hasta ahora
Al parecer, la primera muestra se remonta al 24 de abril de 2023 en forma de malware de fase 0 con el hash 0e583c572ad823330b9e34d871fcc2df. El primer archivo JAR (Java Archive) carece de muchas de las características actuales del malware.
El malware afecta actualmente a las instalaciones de Minecraft en Linux y Windows e intenta inyectarse en todos los demás archivos .jar elegibles del sistema, incluidos los que no forman parte de un mod de Minecraft. El malware tiene una lógica compleja para determinar si un archivo .jar es candidato a la infección. Una vez modificado el archivo, el código de infección también desactiva la firma de código para archivos Java eliminando los archivos META-INF/CERTIFIC.RSA, META-INF/CERTIFIC.EC, META-INF/CERT.SF y META-INF/CERTIFIC.SF.
El malware monitoriza el portapapeles en busca de direcciones de monederos de criptomonedas y las intercambia con las del atacante para secuestrar transacciones. También roba tokens de autenticación de Minecraft y Discord, así como cookies y datos de inicio de sesión almacenados en los navegadores más populares.
Durante nuestro análisis, identificamos un comportamiento interesante que creemos que está dirigido a desarrolladores de mods o plugins. Parece que el malware de fase 3 tiene como objetivo las instancias de Windows Sandbox utilizadas para probar mods, monitorizando y envenenando constantemente el portapapeles en un intento de infectar el host. Este comportamiento está aislado de Windows Sandbox, ya que es el único entorno de virtualización que permite alterar el contenido del portapapeles del host cuando la máquina virtual se está ejecutando en segundo plano.
Hemos podido confirmar que docenas de mods y plugins han sido manipulados con el malware. Los mods afectados se enumeran en la sección Indicadores de Compromiso a continuación.
La inmensa mayoría de las víctimas se encuentran en Estados Unidos. Estamos monitorizando los componentes individuales de este malware y actualizaremos la distribución de la amenaza en consecuencia.
Mitigación
Bitdefender identifica el código malicioso en todas las fases de ejecución como Trojan.Java.Fractureiser.*. Si ha descargado alguno de los mods infectados en los últimos meses o le preocupa la integridad de sus archivos .jar, ejecute un análisis en profundidad con su solución de seguridad favorita, como Bitdefender Total Security.
Indicadores de compromiso
Archivos
| SHA-1 | Detección |
|---|---|
| 2db855a7f40c015f8c9ca7cbab69e1f1aafa210b | Trojan.Java.Fractureiser.B, Java.Trojan.Agent.NY |
| a4b6385d1140c111549d95eab25cb51922eefba2 | Trojan.Java.Fractureiser.C |
| b0752dcf01d56f420cb084c84b641b9c132e8a73 | Trojan.Java.Fractureiser.D |
| 282adb0edc52ce955932de48ef06df36e1050ada | Trojan.Java.Fractureiser.L, Java.Trojan.Agent.NY |
| c55c3e9d6a4355f36b0710ab189d5131a290df26 | Trojan.Java.Fractureiser.G |
| 33677ca0e4c565b1f34baa74a79c09a3b690bf41 | Trojan.Java.Fractureiser.H |
| 284a4449e58868036b2bafdfb5a210fd0480ef4a | Trojan.Java.Fractureiser.J, Java.Trojan.Agent.NY |
| 32536577d5bb074abd493ad98dc12ccc86f30172 | Trojan.Java.Fractureiser.K, Java.Trojan.Agent.NZ |
| 0C6576BDC6D1B92D581C18F3A150905AD97FA080 | Java.Trojan.Agent.NY |
| dc43c4685c3f47808ac207d1667cc1eb915b2d82 | Trojan.Java.Fractureiser.I |
| 52d08736543a240b0cbbbf2da03691ae525bb119 | Trojan.Java.Fractureiser.E, Java.Trojan.Agent.NX |
| 6ec85c8112c25abe4a71998eb32480d266408863 | Trojan.Java.Fractureiser.F, Java.Trojan.Agent.NX |
| e50eadd3293e35e60e89d1914bbc67ab597c8721 | Trojan.Java.Fractureiser.S, Java.Trojan.Agent.OC |
| c2d0c87a1fe99e3c44a52c48d8bcf65a67b3e9a5 | Trojan.Java.Fractureiser.M, Java.Trojan.Agent.OA |
| e299bf5a025f5c3fff45d017c3c2f467fa599915 | Trojan.Java.Fractureiser.N, Java.Trojan.Agent.OB |
| 2de8f42871213f17771be2943e5f9da3b0a94ad2 | Trojan.Java.Fractureiser.A |
URLs:
URLClassLoader - http://85.217.144.130:8080/dl
Nuevo C2C - 107.189.3.101
Etapa2 C2 interrogación - https://files-8ie.pages.dev:8083/ip
Posiblemente nuevo C2C - connect.skyrage.de
Mods y plugins infectados:
Mods eliminados:
https://www.curseforge.com/minecraft/mc-mods/create-infernal-expansion-plus
Mods actuales:
- • https://www.curseforge.com/minecraft/mc-mods/museum-curator-advanced
- • https://www.curseforge.com/minecraft/mc-mods/vault-integrations-bug-fix
- • https://www.curseforge.com/minecraft/mc-mods/autobroadcast
Plugins actuales:
- • https://www.curseforge.com/minecraft/bukkit-plugins/display-entity-editor
- • https://www.curseforge.com/minecraft/bukkit-plugins/the-nexus-event-custom-events
- • https://www.curseforge.com/minecraft/bukkit-plugins/simpleharvesting
- • https://www.curseforge.com/minecraft/bukkit-plugins/mcbounties
- • https://www.curseforge.com/minecraft/bukkit-plugins/easy-custom-foods
- • https://www.curseforge.com/minecraft/bukkit-plugins/havenelytra
- • https://www.curseforge.com/minecraft/bukkit-plugins/anticommandspam-bungeecord-support
- • https://www.curseforge.com/minecraft/bukkit-plugins/ultimateleveling
- • https://www.curseforge.com/minecraft/bukkit-plugins/antiredstonecrash-ntd
- • https://www.curseforge.com/minecraft/bukkit-plugins/hydration
- • https://www.curseforge.com/minecraft/bukkit-plugins/fragment-permission-plugin
- • https://www.curseforge.com/minecraft/bukkit-plugins/novpns
- • https://www.curseforge.com/minecraft/bukkit-plugins/ultimatetitles-titles-animations-gradient-rgb
Otros
- • https://dev.bukkit.org/projects/floating-damage
- • https://www.curseforge.com/minecraft/mc-mods/skyblock-core/files/4570565
- • https://legacy.curseforge.com/minecraft/mc-mods/dungeonx/files/4551100
- • https://dev.bukkit.org/projects/havenelytra/files/4551105
- • https://legacy.curseforge.com/minecraft/bukkitplugins/havenelytra/files/4551105
- • https://www.curseforge.com/minecraft/mc-mods/vault-integrations-bug-fix/files/4557590
- • https://www.curseforge.com/minecraft/mc-mods/autobroadcast/files/4567257
- • https://www.curseforge.com/minecraft/mc-mods/museum-curator-advanced/files/4553353
- • https://www.curseforge.com/minecraft/mc-mods/vault-integrations-bug-fix/files/4557590
- • https://dev.bukkit.org/projects/floating-damage
- • https://www.curseforge.com/minecraft/bukkit-plugins/display-entity-editor/files/4570122
Autor: