Специалист по информационной безопасности Эрик Паркер опубликовал подробный разбор новой схемы компрометации систем, нацеленной на игроков в Minecraft. Злоумышленники используют связку из легитимно выглядящей модификации и вредоносного ресурс-пака, чтобы получить полный контроль над компьютерами жертв.
В последнее время среди сообщества игроков Minecraft участились случаи, когда через текстовые каналы Discord пользователям предлагают протестировать работу новых серверов. Для подключения к такому серверу организаторы просят установить специальную модификацию QualityCraft, размещенную на популярной платформе CurseForge. Изначально этот мод не совершает вредоносных действий в системе, из-за чего он легко проходит автоматическую модерацию на крупных игровых ресурсах.
Суть угрозы заключается в том, что модификация QualityCraft добавляет в клиент игры уязвимость удаленного выполнения кода. Она запрограммирована на поиск скрытых данных в файлах загружаемых ресурс-паков. Когда игрок подключается к целевому серверу, ему автоматически предлагается скачать и применить уникальный серверный ресурс-пак. На чистой версии игры без установленного мода этот ресурс-пак абсолютно безвреден, однако при наличии QualityCraft запускается скрытый процесс.
Вредоносный код, спрятанный за пределами стандартного заголовка архива ресурс-пака, извлекается модификацией и запускает цепочку исполнения через сценарии VBScript. Это приводит к загрузке и незаметному выполнению командного файла update.bat, который в свою очередь скачивает обратную оболочку rev.bat. На этапе анализа специалист зафиксировал установку троянов удаленного доступа, включая вредоносное программное обеспечение Quasar RAT и PureHVNC, а также программу для кражи персональных данных и
