Как выявить опасную угрозу и полностью очистить от неё свой компьютер?

Новое вредоносное ПО «Fractureiser», способное похищать информацию с компьютеров игроков в Minecraft, активно распространяется через пользовательские модификации на платформах Bukkit и CurseForge.

Хакеры взломали несколько аккаунтов на этих платформах и подменили популярные моды и плагины зловредным кодом. Среди затронутых модификаций точно присутствуют те, что перечислены ниже, но их может быть ещё больше.

  • На CurseForge: Dungeons Arise, Sky Villages, Better Minecraft, Fabuously Optimized, Dungeonz, Skyblock Core, Vault Integrations, AutoBroadcast, Museum Curator Advanced, Vault Integrations Bug fix, Create Infernal Expansion Plus.
  • На Bukkit: Display Entity Editor, Haven Elytra, The Nexus Event Custom Entity Editor, Simple Harvesting, MCBounties, Easy Custom Foods, Anti Command Spam Bungeecord Support, Ultimate Leveling, Anti Redstone Crash, Hydration, Fragment Permission Plugin, No VPNS, Ultimate Titles Animations Gradient RGB, Floating Damage.

Вшитый в модификации вредонос способен похищать cookie-файлы, учётные данные аккаунтов, адреса криптовалютных кошельков и прочую чувствительную информацию. Кроме того, он может прописаться в автозапуске Windows, а также самораспространяться на другие «.jar»-файлы в файловой системе жертвы, заражая другие пользовательские моды, чтобы повторить цепочку заражения, если геймер выявит и удалит первоначальный вредонос.

Под угрозой находятся игроки, которые скачивали моды или плагины с CurseForge или Bukkit в течение последних трех недель, однако полные масштабы заражения ещё предстоит оценить.

Если вы считаете, что могли стать одной из жертв данного вредоноса, это можно быстро проверить. Достаточно перейти в директорию «%LOCALAPPDATA%» и поискать там папку «Microsoft Edge». Если её нет по указанному адресу, то, вероятнее всего, ваша система не заражена. Если же такая папка присутствует, а в ней лежит файл «libWebGL64.jar» или «lib.jar» — ваш компьютер с большой долей вероятности был скомпрометирован.

В случае заражения, рекомендуется полностью удалить Minecraft с компьютера, тщательно просканировать систему надёжным антивирусным софтом, на забыв проверить лишние записи в автозагрузке Windows, планировщике задач и системном реестре.

Как только появится уверенность в том, что компьютер чист, можно заново установить игру, но вот от использования продуктов CurseForge, Bukkit и прочих модификаций пока что следует воздержаться. По крайней мере до официальных заявлений о том, что площадки полностью очищены от вредоносного кода.

Более подробную техническую информацию о Fractureiser, включая принцип работы, метод распространения в заражённой системе и пути реестра, где вредонос может оставить файлы для повторного заражения, можно почитать в исчерпывающем отчёте исследователей на GitHub, а также в соответствующем обсуждении на Reddit.

Источник: securitylab