روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ جامعه‌ی گیمینگ در حال رد و بدل اخبارِ بدافزاری موسوم به  Fractureiser که در مودها (حالات) ماینکرفت پیدا شده است هستند. این بدافزار در واقع از CurseForge و dev.bukkit.org دانلود شده است. توصیه می‌شود گیمرها فایل‌های جدید  .jar را از این سایت‌ها دانلود نکنند. هرکسی که این کار را اخیراً انجام داده است باید با راهکارهای ضدبدافزار، کامپیوتر خود را چک کند. این بدافزار روی بازیکنان نسخه‌های ماینکرفتِ ویندوز و لینوکس تأثیر می‌گذارد (به نظر می‌رسد کاربران سایر سیستم‌عامل‌ها در امان هستند).

چطور این بدافزار به مودهای ماینکرفت رخنه کرده است؟

بنابر فرضیه‌های اولیه، مجرمان سایبری ناشناسی روی دو سایت CurseForge.com و dev.bukkit.org اکانت‌های توسعه‌دهنده‌ی مود را دستکاری کرده‌اند. با این حال، توسعه‌دهندگان  Prism Launcher شک دارند که کسی ممکن است در پلت‌فرم Overwolf آسیب‌پذیریِ ناشناخته‌ای را اکسپلویت کرده باشد. آن‌ها همچنین فهرستی از مودها را که گفته می‌شود با fractureiser آلوده شدند منتشر کردند.

بدافزار fractureiser چیست و چه کار می‌کند؟

گزارش شده است که بعد از نصب مود دستکاری‌شده و لانچ شدن گیم، کد مخرب از سرور ریموت یک پی‌لود اضافی دانلود و اجرا کرده است. این پی‌لود شروع کرده است به ساختن فولدر و اسکریپت و برای اجرای بدافزار بعد از یک ریبوت، رجیستری سیستم را تغییر داده است. محققین مستقل می‌گویند در مرحله نهایی این حمله، بدافزار سعی داشته آلودگی را به همه فایل‌های .jar روی کامپیوتر سرایت دهد (ظاهراً سعی داشته به همه مودهای از قبل دانلودشده نیز دسترسی پیدا کند). این بدافزار همچنین می‌تواند فایل‌های کوکی و اطلاعات محرمانه ذخیره‌شده در مرورگرها را سرقت کند. افزون بر این، قادر است روی کلیپ‌بورد آدرس‌های کریپتو والت را نیز تغییر دهد.

علائم آلودگی Fractureiser

در نهایت اینطور نتیجه‌گیری شد که حضور فایل libWebGL64.jar ممکن است علامت قطعی آلودگی تلقی شود. این بدافزار چنین فایلی را در فولدر %LOCALAPPDATA%/Microsoft Edge یا %LOCALAPPDATA%/Microsoft Edge می‌سازد. برای پیدا کردن این فایل باید به منوی Folder options (از طریق View سپس گزینه Options در ویندوز فایل اکسپلورر) بروید و گزینه Show hidden files, folders, and drives را فعالسازی نموده و Hide protected operating system files را زیر تب View غیرفعال کنید.

چطور ایمن بمانیم؟

اگر ماینکرفت بازی می‌کنید و از مودهای طرف‌سوم استفاده می‌کنید پس شاید اولین کاری که باید بکنید چک کردن پی‌سی‌تان با یک نرم‌افزار قابل‌اطمینان آنتی‌ویروسی باشد. اگر در پروسه اسکن، بدافزاری شناسایی و پاک شد شاید بد ایده‌ای نباشد اگر همه پسوردهای منابع آنلاین خود را که می‌شود از این کامپیوتر بدان دسترسی پیدا کرد تغییر دهید. همچنین توصیه می‌کنیم اخبار را دنبال کنید و مودهای جدید ماینکرفت را تا قبل از روشن شدن تکلیف این موضوع نصب نکنید (ما اینجا فقط از مودهای مستقیم دانلودشده از سایت‌های بالا منظورمان نیست: آن‌ها را حتی از نرم‌افزارهای طرف‌سوم نیز ناید نصب کنید). مودها، افزونه‌ها و پلاگین‌های سایر گیم‌ها که به همین روش توزیع می‌شوند به نظر نمی‌رسد تحت تأثیر این حمله قرار گرفته باشند اما اگر کانال تحویل دستکاری شده باشد پس این امکان وجود خواهد داشت که مهاجمین متودهای جایگزین آلوده‌سازی را اتخاذ کردند و سعی دارند بازیکان گیم‌های دیگر را نیز به خطر بیاندازند. به عنوان یک قانون کلی، مودهای گیم توسط علاقمندان توسعه داده شده و روی پلت‌فرم‌های مستقل نیز میزبانی می‌شوند. از این رو، توسعه‌دهندگان گیم در قبال بخش امنیتی آن‌ها هیچ مسئولیتی نداشته و امنیت کاربردی آن‌ها را نیز تضمین نمی‌کنند. پس بهتر است مودهای گیم را فقط با راهکارهای امنیتی که روی کامپیوترتان نصب کرده‌اید دانلود نمایید.

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.