Gefälschter Minecraft-Installer verbreitet NjRat-Spyware, um Daten zu stehlen

Der gefälschte Minecraft-Klon Eaglercraft 1.12 Offline verbreitet die Spyware NjRat, die Passwörter stiehlt und per Webcam und Mikrofon spioniert, warnt das Sicherheitsteam von Point Wild.

Das Lat61 Threat Intelligence Team von Point Wild hat eine neue Cyberbedrohung entdeckt, die es auf Fans des beliebten Spiels Minecraft abgesehen hat. Als Minecraft-Installer getarnte Malware infiziert Computer und ermöglicht Hackern den Diebstahl persönlicher Daten.

Diese von Point Wild an Hackread.com übermittelte Untersuchung dürfte nicht überraschen,da Minecraft bereits im Jahr 2021 zum am stärksten mit Malware infizierten Spiel aller Zeiten erklärt wurde.

Die anhaltende Bedrohung ist in einem inoffiziellen browserbasierten Minecraft-Klon namens Eaglercraft 1.12 Offline versteckt, der häufig in Schulen und anderen eingeschränkten Umgebungen verwendet wird. Millionen von Gamern, darunter Kinder und Gelegenheitsspieler, laden während der jüngsten Begeisterung Minecraft-bezogene Inhalte herunter und setzen damit unwissentlich ihre Computer einem Risiko aus.

Die Untersuchung ergab, dass das gefälschte Spieleinstallationsprogramm einen gefährlichen Typ von Remote Access Trojan (RAT) namens NjRat enthält, der von Cyberkriminellen seit Jahren verwendet wird, um die vollständige Kontrolle über infizierte Geräte zu übernehmen.

Diese Malware kann ohne Wissen des Benutzers verschiedene schädliche Aktivitäten ausführen. Sie verwendet einen Keylogger, um jeden Tastendruck zu erfassen und so Benutzernamen, Passwörter und andere vertrauliche Informationen zu stehlen. Außerdem kann sie Benutzer ausspionieren, indem sie sich unbefugten Zugriff auf die Webcam und das Mikrofon eines Computers verschafft und es Angreifern ermöglicht, diese heimlich zu beobachten und abzuhören.

Zusätzlich erstellt die Malware eine Hintertür, indem sie den Startdateien des Computers ein verstecktes Programm namens WindowsServices.exe hinzufügt und so sicherstellt, dass es bei jedem Einschalten des Systems ausgeführt wird. Zum Schutz ist die Malware so programmiert, dass sie das System mit einem Blue Screen of Death abstürzt, wenn sie Sicherheitstools wie Wireshark erkennt. Dies erschwert die Analyse für Experten.

Während das Spiel oberflächlich lief und zur Ablenkung diente, wurde im Hintergrund ein versteckter Prozess namens WindowsServices.exe ausgeführt. Dieser Prozess ist keine legitime Windows-Komponente und wurde wahrscheinlich als Systemprozess getarnt, um keinen Verdacht zu erregen. Eine genauere Untersuchung ergab, dass er weitere untergeordnete Prozesse erzeugte, insbesondere cmd.exe, gefolgt von conhost.exe, das von Malware häufig zur Befehlszeilenausführung und zur Nutzlastverarbeitung verwendet wird.

Nihanshu Katkar – Lat61 Threat Intelligence Team

Den Untersuchungen von Point Wild zufolge beginnt der Angriff mit einer als Minecraft-Installationsprogramm getarnten Schaddatei. Führt ein Benutzer diese Datei aus, legt der Computer im Hintergrund mehrere Dateien ab, darunter das wichtigste Schadprogramm. Zudem lenkt er den Benutzer ab, indem er ein Browserfenster mit dem gefälschten Minecraft-Spiel öffnet. Während des Spiels läuft das versteckte Programm im Hintergrund.

Das folgende Diagramm veranschaulicht, wie die Malware unbemerkt Dateien ablegt, einen neuen Eintrag in den Startdateien des Computers erstellt, um sicherzustellen, dass sie immer ausgeführt wird, und sich dann mit einem Remote-Server verbindet. Dieser Server, der in Indien in der Amazon-Cloud gehostet wird, wird von den Angreifern genutzt, um den infizierten Computer zu steuern und Daten zu stehlen.

Dr. Zulfikar Ramzan , CTO von Point Wild und Leiter des Lat61 Threat Intelligence-Teams, warnt: „Bedrohungsakteure nutzen die Popularität von Minecraft-Mods aus, um leistungsstarke Spyware zu verbreiten. Was wie ein harmloses Spiel aussieht, wird in Wirklichkeit zu einem Werkzeug für Spionage und Datendiebstahl.“

Wenn Sie Minecraft spielen, stellen Sie daher sicher, dass Sie es über den offiziellen Store herunterladen. Seien Sie beim Kauf von Skins und Mods vorsichtig und stellen Sie sicher, dass alle Käufe über den offiziellen Store erfolgen. Das Herunterladen von Apps von Drittanbietern setzt Ihr Gerät nur einem weiteren Risiko aus.