넷상에 공개되고 있는 수십 종류의 MOD에 「Fractureiser」라고 하는 악성코드가 탑재되어 있다는 것이 판명되어, MOD의 다운로드나 업데이트를 즉시 중지할 것을 호소하고 있습니다.
THIS DOC IS OLD, WE HAVE MOVED AGAIN - HackMD
THIS DOC IS OLD, WE HAVE MOVED AGAIN - HackMD
owned this note owned this note Published Linked with GitHub # THIS DOC IS OLD, WE HAVE MOVED AGAIN Old doc, further conversation is happening at github due to lag on this doc: [link](https://github.com/fractureiser-investigation/fr
hackmd.io
GitHub - fractureiser-investigation/fractureiser: Information about the fractureiser malware
GitHub - fractureiser-investigation/fractureiser: Information about the fractureiser malware
Information about the fractureiser malware. Contribute to fractureiser-investigation/fractureiser development by creating an account on GitHub.
github.com
New Fractureiser malware used CurseForge Minecraft mods to infect Windows, Linux
New Fractureiser malware used CurseForge Minecraft mods to infect Windows, Linux
Hackers used the popular Minecraft modding platforms Bukkit and CurseForge to distribute a new 'Fractureiser' information-stealing malware through uploaded modifications and by injecting malicious code into existing projects.
www.bleepingcomputer.com
Fractureiser는 MOD 및 플러그인 배포 플랫폼인 CurseForge와 CraftBukkit에 업로드된 프로젝트에서 발견된 Malware입니다. 공격 대상은 Windows와 Linux 시스템으로, 이름의 유래는 CurseForge로 악의가 있는 파일을 업로드한 계정명이라고 합니다.
Fractureiser는 4단계에 걸쳐 공격을 합니다.
첫째, Fractureiser는 MOD에 내장된 악성 함수를 실행하고 「dl.jar」라는 파일을 다운로드하여 새로운 유틸리티 클래스(static 메서드와 static 변수만이 포함되어 있는 클래스. 예를 들면 java.lang.Math 클래스)로 실행합니다. 이때, 머신에 Java가 인스톨되어 있는지를 확인해, 인스톨되어 있지 않은 경우는 자동으로 인스톨한다는 것.
이 dl.jar가 실행되면 Fractureiser는 공격자의 C&C 서버(감염된 좀비 PC가 해커가 원하는 공격을 수행하도록 원격지에서 명령을 내리거나 악성코드를 제어하는 서버)의 IP 주소를 가져옵니다.
그런 다음 포트 8083에서 해당 IP 주소에 연결하여 파일을 다운로드하고
"%LOCALAPPDATA%\Microsoft Edge\libWebGL64.jar" 또는 "~/.config/.data/lib.jar"로 저장합니다.
그런 다음 Fractureiser는 "Llib.jar"또는 "libWebGL64.jar"라는 JAR 파일을 자동으로 시작하는 항목을 레지스트리에 설정하고 악성 파일을 다운로드합니다.
악성 파일이 실행되면 웹 브라우저에 저장된 쿠키 및 계정 자격 증명을 훔치거나 클립 보드에 복사된 가상 화폐 지갑의 주소를 바꾸거나 Microsoft, Minecraft, Discord 계정 정보를 훔치는 등의 피해가 있다는 것. 또한 Fractureiser는 파일 시스템의 모든 JAR 파일에 악성 함수를 삽입하여 감염을 확장하고 Windows 시작 시 스크립트를 실행하는 바로 가기를 만듭니다.
현시점에서 Fractureiser의 영향을 받은 것으로 확인되는 MOD나 플러그인은 아래와 같습니다.
・CurseForge
Dungeons Arise
Sky Villages
Better MC modpack series
Fabuously Optimized (Found to not be compromised)
Dungeonz
Skyblock Core
Vault Integrations
AutoBroadcast
Museum Curator Advanced
Vault Integrations Bug fix
Create Infernal Expansion Plus - Mod removed from CurseForge
・CraftBukkit
Display Entity Editor
Haven Elytra
The Nexus Event Custom Entity Editor
Simple Harvesting
MCBounties
Easy Custom Foods
Anti Command Spam Bungeecord Support
Ultimate Leveling
Anti Redstone Crash
Hydration
Fragment Permission Plugin
No VPNS
Ultimate Titles Animations Gradient RGB
Floating Damage
악의적인 기능을 포함한 MOD 파일의 일부는 2023년 4월 중순부터 확인되었다고 합니다. 위의 MOD나 플러그인을 지난 3주간 다운로드한 플레이어가 영향을 받는다고 합니다만, 실제로 Fractureiser의 감염이 얼마나 확산되고 있는지는 불명입니다.
해커 포럼의 HackMD에 의하면, 이미 유지가 마인크래프트의 개발원인 Mojang에 연락하고 있어, CurseForge를 비롯한 다양한 MOD 로더의 개발 팀에 검출 소프트웨어를 배포할 예정이라고 합니다.
또한 악의적인 함수를 포함한 파일이 시스템에 존재하는지 확인하는 스크립트를 마인크래프트의 MOD 런처인 Prism Launcher의 공식 사이트가 정리하고 있습니다.
Prism Launcher - [MALWARE WARNING] "fractureiser" malware in many popular Minecraft mods and modpacks
https://prismlauncher.org/news/cf-compromised-alert/#automated-script
'트렌드 이슈 · 토픽' 카테고리의 다른 글
| 일반적인 고혈압을 유발하는 유전자 변이체와 그 치료법을 확인 (3) | 2023.06.13 |
|---|---|
| 소비자의 80 %는 인플루언서보다 사용자 리뷰에 영향을받습니다. (4) | 2023.06.12 |
| YouTube의 산책 & 드라이브 영상에 라디오나 음악을 재생해 오로지 작업용 영상으로 쓰는 「CityHop」 (3) | 2023.06.12 |
| Amazon의 30만원대 11인치·2K 액정 태블릿「Fire Max 11」성능 체크 (3) | 2023.06.10 |
| 애플이 아이폰을 애완동물용 감시 카메라로 바꾸는 프레임워크 「DockKit」 발표 (3) | 2023.06.09 |
| 애플이 AR 개발 스타트업인 Mira를 인수 (3) | 2023.06.08 |
| Meta Quest 3가 올 가을에 등장할 예정 (3) | 2023.06.05 |
| 무료로 VRM 형식의 3D 아바타 'OpenLive3D'를 사용해 보았다 (1) | 2023.06.05 |
