セキュリティ

マインクラフトの人気MOD数十種類がマルウェア「Fractureiser」に感染していると判明

by Tamahikari Tammas

ネット上で公開されている数十種類のMODに「Fractureiser」というマルウェアが仕込まれていたことが判明し、提供元のプラットフォームがMODのダウンロードやアップデートをただちに中止するように呼びかけています。

THIS DOC IS OLD, WE HAVE MOVED AGAIN - HackMD
https://hackmd.io/B46EYzKXSfWSF35DeCZz9A

Prism Launcher - [MALWARE WARNING] "fractureiser" malware in many popular Minecraft mods and modpacks
https://prismlauncher.org/news/cf-compromised-alert/

GitHub - fractureiser-investigation/fractureiser: Information about the fractureiser malware
https://github.com/fractureiser-investigation/fractureiser

New Fractureiser malware used CurseForge Minecraft mods to infect Windows, Linux
https://www.bleepingcomputer.com/news/security/new-fractureiser-malware-used-curseforge-minecraft-mods-to-infect-windows-linux/


Fractureiserは、MODやプラグインの配布プラットフォームであるCurseForgeとCraftBukkitにアップロードされたプロジェクトで見つかったマルウェアです。攻撃対象はWindowsとLinuxのシステムで、名前の由来はCurseForgeで悪意のあるファイルをアップロードしたアカウント名だとのこと。

Fractureiserは4段階にわたって攻撃を行います。まず、FractureiserはMODに組み込まれた悪意のある関数を実行し、「dl.jar」というファイルをダウンロードして、新しいユーティリティクラスとして実行します。この時、マシンにJavaがインストールされているかを確認し、インストールされていない場合は自動でインストールするとのこと。


このdl.jarが実行されると、Fractureiserは攻撃者のC2サーバーのIPアドレスを取得します。次に、ポート8083でそのIPアドレスに接続してファイルをダウンロードし、「%LOCALAPPDATA%\Microsoft Edge\libWebGL64.jar」あるいは「~/.config/.data/lib.jar」として保存します。そして、Fractureiserは、「Llib.jar」あるいは「libWebGL64.jar」というJARファイルを自動起動するエントリをレジストリに設定し、悪意のあるファイルをダウンロードします。


悪意のあるファイルが実行されると、ウェブブラウザに保存されているCookieやアカウント認証情報を盗んだり、クリップボードにコピーされている仮想通貨ウォレットのアドレスを置き換えたり、Microsoft・マインクラフト・Discordのアカウント情報を盗んだりといった被害があるとのこと。さらに、Fractureiserはファイルシステム上のすべてのJARファイルに悪意のある関数を挿入して感染を拡大させるほか、Windowsの起動時にスクリプトを実行するショートカットを作成します。


記事作成時点でFractureiserの影響を受けることが確認されているMODやプラグインは以下の通り。

・CurseForge
Dungeons Arise
Sky Villages
Better MC modpack series
Fabuously Optimized (Found to not be compromised)
Dungeonz
Skyblock Core
Vault Integrations
AutoBroadcast
Museum Curator Advanced
Vault Integrations Bug fix
Create Infernal Expansion Plus - Mod removed from CurseForge
・CraftBukkit
Display Entity Editor
Haven Elytra
The Nexus Event Custom Entity Editor
Simple Harvesting
MCBounties
Easy Custom Foods
Anti Command Spam Bungeecord Support
Ultimate Leveling
Anti Redstone Crash
Hydration
Fragment Permission Plugin
No VPNS
Ultimate Titles Animations Gradient RGB
Floating Damage

悪意のある関数を含んだMODファイルの一部は2023年4月中旬から確認されているとのこと。上記のMODやプラグインを過去3週間にダウンロードしたプレイヤーが影響を受けるとのことですが、実際にFractureiserの感染がどれだけ広がっているのかは不明です。

ハッカーフォーラムのHackMDによると、すでに有志がマインクラフトの開発元であるMojangに連絡をしており、CurseForgeをはじめとするさまざまなMODローダーの開発チームに検出ソフトウェアを配布する予定だとのこと。

なお、悪意のある関数を含んだファイルがシステム上に存在するかどうかを確認するスクリプトを、マインクラフトのMODランチャーであるPrism Launcherの公式サイトがまとめています。

Prism Launcher - [MALWARE WARNING] "fractureiser" malware in many popular Minecraft mods and modpacks
https://prismlauncher.org/news/cf-compromised-alert/#automated-script

この記事のタイトルとURLをコピーする

・関連記事
マインクラフトはサイバー犯罪者にも断トツ人気 - GIGAZINE

Discordのボットを悪用するマルウェアが登場 - GIGAZINE

「マインクラフト用のMicrosoftアカウントが突如ロックされて電話番号を請求された」という報告 - GIGAZINE

JavaのLog4jライブラリで発見された脆弱性「Log4Shell(CVE-2021-44228)」はなぜ世界中に大きな影響を与えるのか? - GIGAZINE

マインクラフトの日本人プレイヤーをターゲットにしたランサムウェアが登場 - GIGAZINE

・関連コンテンツ

in ソフトウェア,   ゲーム,   セキュリティ, Posted by log1i_yk

You can read the machine translated English article Dozens of popular MODs of Minecraft turn….