روابط عمومی شرکت ایدکو (توزیعکنندهی محصولات کسپرسکی در ایران)؛ جامعهی گیمینگ در حال رد و بدل اخبارِ بدافزاری موسوم به Fractureiser که در مودها (حالات) ماینکرفت پیدا شده است هستند. این بدافزار در واقع از CurseForge و dev.bukkit.org دانلود شده است. توصیه میشود گیمرها فایلهای جدید .jar را از این سایتها دانلود نکنند. هرکسی که این کار را اخیراً انجام داده است باید با راهکارهای ضدبدافزار، کامپیوتر خود را چک کند. این بدافزار روی بازیکنان نسخههای ماینکرفتِ ویندوز و لینوکس تأثیر میگذارد (به نظر میرسد کاربران سایر سیستمعاملها در امان هستند).
چطور این بدافزار به مودهای ماینکرفت رخنه کرده است؟
بنابر فرضیههای اولیه، مجرمان سایبری ناشناسی روی دو سایت CurseForge.com و dev.bukkit.org اکانتهای توسعهدهندهی مود را دستکاری کردهاند. با این حال، توسعهدهندگان Prism Launcher شک دارند که کسی ممکن است در پلتفرم Overwolf آسیبپذیریِ ناشناختهای را اکسپلویت کرده باشد. آنها همچنین فهرستی از مودها را که گفته میشود با fractureiser آلوده شدند منتشر کردند.
بدافزار fractureiser چیست و چه کار میکند؟
گزارش شده است که بعد از نصب مود دستکاریشده و لانچ شدن گیم، کد مخرب از سرور ریموت یک پیلود اضافی دانلود و اجرا کرده است. این پیلود شروع کرده است به ساختن فولدر و اسکریپت و برای اجرای بدافزار بعد از یک ریبوت، رجیستری سیستم را تغییر داده است. محققین مستقل میگویند در مرحله نهایی این حمله، بدافزار سعی داشته آلودگی را به همه فایلهای .jar روی کامپیوتر سرایت دهد (ظاهراً سعی داشته به همه مودهای از قبل دانلودشده نیز دسترسی پیدا کند). این بدافزار همچنین میتواند فایلهای کوکی و اطلاعات محرمانه ذخیرهشده در مرورگرها را سرقت کند. افزون بر این، قادر است روی کلیپبورد آدرسهای کریپتو والت را نیز تغییر دهد.
علائم آلودگی Fractureiser
در نهایت اینطور نتیجهگیری شد که حضور فایل libWebGL64.jar ممکن است علامت قطعی آلودگی تلقی شود. این بدافزار چنین فایلی را در فولدر %LOCALAPPDATA%/Microsoft Edge یا %LOCALAPPDATA%/Microsoft Edge میسازد. برای پیدا کردن این فایل باید به منوی Folder options (از طریق View سپس گزینه Options در ویندوز فایل اکسپلورر) بروید و گزینه Show hidden files, folders, and drives را فعالسازی نموده و Hide protected operating system files را زیر تب View غیرفعال کنید.
چطور ایمن بمانیم؟
اگر ماینکرفت بازی میکنید و از مودهای طرفسوم استفاده میکنید پس شاید اولین کاری که باید بکنید چک کردن پیسیتان با یک نرمافزار قابلاطمینان آنتیویروسی باشد. اگر در پروسه اسکن، بدافزاری شناسایی و پاک شد شاید بد ایدهای نباشد اگر همه پسوردهای منابع آنلاین خود را که میشود از این کامپیوتر بدان دسترسی پیدا کرد تغییر دهید. همچنین توصیه میکنیم اخبار را دنبال کنید و مودهای جدید ماینکرفت را تا قبل از روشن شدن تکلیف این موضوع نصب نکنید (ما اینجا فقط از مودهای مستقیم دانلودشده از سایتهای بالا منظورمان نیست: آنها را حتی از نرمافزارهای طرفسوم نیز ناید نصب کنید). مودها، افزونهها و پلاگینهای سایر گیمها که به همین روش توزیع میشوند به نظر نمیرسد تحت تأثیر این حمله قرار گرفته باشند اما اگر کانال تحویل دستکاری شده باشد پس این امکان وجود خواهد داشت که مهاجمین متودهای جایگزین آلودهسازی را اتخاذ کردند و سعی دارند بازیکان گیمهای دیگر را نیز به خطر بیاندازند. به عنوان یک قانون کلی، مودهای گیم توسط علاقمندان توسعه داده شده و روی پلتفرمهای مستقل نیز میزبانی میشوند. از این رو، توسعهدهندگان گیم در قبال بخش امنیتی آنها هیچ مسئولیتی نداشته و امنیت کاربردی آنها را نیز تضمین نمیکنند. پس بهتر است مودهای گیم را فقط با راهکارهای امنیتی که روی کامپیوترتان نصب کردهاید دانلود نمایید.
منبع: کسپرسکی آنلاین (ایدکو)
کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.
