Étude des menaces

Les joueurs de Minecraft exposés à un code malveillant dans des "skins" modifiés

Alexej Savčin, 18 avril 2018

Près de 50 000 comptes Minecraft infectés par un logiciel malveillant conçu pour reformater les disques durs et plus encore.

Près de 50 000 comptes Minecraft ont été infectés par un logiciel malveillant conçu pour reformater les disques durs et supprimer les données de sauvegarde et les programmes système, selon les données d'Avast des 30 derniers jours. 

Le script malveillant sous Powershell identifié par des chercheurs du Laboratoire des menaces d'Avast utilise les « skins » de Minecraft créés au format de fichier PNG comme véhicule de distribution. Les skins sont une fonctionnalité populaire qui modifie l'apparence de l'avatar d'un joueur Minecraft. Ils peuvent être téléchargés sur le site Minecraft à partir de diverses ressources en ligne.

code malveillant-1

Le code malveillant est peu impressionnant et peut être trouvé sur des sites Web qui fournissent des instructions étape par étape afin de créer des virus avec Notepad. Bien qu'il soit juste de supposer que les responsables ne sont pas des cybercriminels professionnels, la plus grande préoccupation est de savoir pourquoi les skins infectées pourraient être légitimement téléchargées sur le site Web de Minecraft. Avec le malware hébergé sur le domaine officiel de Minecraft, toute détection déclenchée pourrait être mal interprétée par les utilisateurs comme un faux positif.

url-of-malveillant-minecraft-skin-2-1URL hébergée du skin malveillant

Nous avons contacté Mojang, le créateur de Minecraft, et ils sont en train de corriger cette vulnérabilité.

Pourquoi Minecraft ?

En janvier 2018, Minecraft comptait 74 millions de joueurs dans le monde, soit une augmentation de près de 20 millions par rapport à l'année précédente. Cependant, seul un petit pourcentage de la base totale d'utilisateurs télécharge activement les habillages ou skin modifiés. La plupart des joueurs utilisent les versions par défaut fournies par Minecraft. Ceci explique le faible taux d'enregistrement des infections. 

Pendant 10 jours, nous avons bloqué 14 500 tentatives d'infection. Malgré le faible nombre, la marge d'escalade est élevée compte tenu du nombre de joueurs actifs dans le monde.

détection-heatmap-4

Carte thermique de détection

Bien que Minecraft soit joué par des personnes sur un large spectre démographique, le groupe le plus important a entre 15 et 21 ans, ce qui représente 43% de la base d'utilisateurs. Les mauvais acteurs ont peut-être cherché à tirer parti d'un groupe plus vulnérable d'utilisateurs qui ne se méfient pas et qui jouent à un jeu auquel les parents et les tuteurs font confiance. Le pansement est une autre possibilité, mais il est plus probable que la vulnérabilité ait été exposée pour s'amuser - un état d'esprit plus commun adopté par les script kiddies.

Comment est-il possible d'identifer la menace ?

Les utilisateurs peuvent identifier la menace de plusieurs façons. Le malware est inclus dans les skins disponibles sur le site Web de Minecraft. Trois exemples qui contiennent le malware peuvent être vus ci-dessous.

Tous les habillages ne sont pas malveillants, mais si vous en avez téléchargé un similaire à ceux présentés ci-dessous, nous vous recommandons d'exécuter une analyse antivirus.

minecraft-skins-3

Les utilisateurs peuvent également recevoir des messages inhabituels dans la boîte de réception de leur compte. Voici quelques exemples :

“You Are Nailed, Buy A New Computer This Is A Piece Of Sh*t”
“You have maxed your internet usage for a lifetime”
“Your a** got glued”

minecraft-5

D'autres preuves d'infection incluent des problèmes de performances système causés par une simple boucle tourstart.exe ou un message d'erreur lié à la mise en forme du disque.

tourstart-exe-minecraft-6

Comment les utilisateurs peuvent-ils se protéger ?

Scanner votre machine avec un antivirus puissant tel que Avast Antivirus Gratuit qui détectera les fichiers malveillants et les supprimera. Cependant, dans certains cas, l'application Minecraft peut nécessiter une réinstallation. Dans des circonstances plus extrêmes, où les machines utilisateur ont déjà été infectées par le logiciel malveillant et où les fichiers système ont été supprimés, la restauration des données est recommandée.

Merci d’utiliser Avast Antivirus et de nous recommander à vos amis et votre famille. Pour toutes les dernières actualités, pensez à nous suivre sur FacebookTwitter et Google+.