Jogadores do Minecraft ficam expostos a códigos maliciosos em skins modificadas

Alexej Savčin 17 abr 2018

Cerca de 50.000 contas do Minecraft foram infectadas com um malware projetado para, entre outras coisas, reformatar os discos rígidos.

ATUALIZAÇÃO: O Minecraft foi atualizado para resolver esse problema.

Cerca de 50.000 contas do Minecraft foram infectadas com um malware projetado para reformatar os discos rígidos, excluir dados de backup e programas do sistema operacional, de acordo com os dados da Avast dos últimos 30 dias. O script Powershell malicioso identificado pelos pesquisadores do Laboratório de Ameaças da Avast usa como o veículo de distribuição algumas skins do Minecraft criados no formato de arquivo PNG. As skins são um recurso popular que modifica a aparência do Avatar de um jogador do Minecraft. Eles podem ser enviados para o site do Minecraft a partir de vários recursos on-line.

malicious-code-1
O código malicioso é praticamente inexpressivo e pode ser encontrado em sites que fornecem instruções passo a passo sobre como criar vírus com o Bloco de Notas. Embora se possa supor que os responsáveis não sejam criminosos cibernéticos profissionais, a maior preocupação é por que as skins infectadas podem ser legitimamente carregadas para o site do Minecraft. Com o malware hospedado no domínio oficial do Minecraft, qualquer detecção desencadeada pode ser mal interpretada pelos usuários como um falso positivo.

url-of-malicious-minecraft-skin-2-1URL de hospedagem de skin maliciosa

Entramos em contato com Mojang, o criador do Minecraft, e eles estão trabalhando para corrigir essa vulnerabilidade.

Por que o Minecraft?

Em janeiro de 2018, o Minecraft tinha 74 milhões de jogadores em todo o mundo – um aumento de quase 20 milhões em relação ao ano anterior. No entanto, apenas uma pequena porcentagem da base de usuários carrega ativamente as skins modificadas. A maioria dos jogadores usa as versões padrão fornecidas pelo Minecraft. Isso explica o baixo registro de infecções. Ao longo de 10 dias, bloqueamos 14.500 tentativas de infecção. Apesar do baixo número, a curva é acentuada, dado o número de jogadores ativos globalmente.

detection-heatmap-4Mapa de calor de detecção

Embora o Minecraft seja jogado por pessoas de um amplo espectro demográfico, o maior grupo está entre 15 a 21 anos, ou seja, 43% da base de usuários. Os cibercriminosos podem ter procurado capitalizar um grupo mais vulnerável de usuários desavisados que jogam um jogo em que os pais e responsáveis confiam. Tudo pode ter sido um teste de intrusão, mas o mais provável é que a vulnerabilidade tenha sido exposta por pura diversão: uma mentalidade comum entre os script kiddies.

É fácil de identificar a ameaça?

Os usuários podem identificar a ameaça de várias maneiras. O malware está incluído em skins disponíveis no site do Minecraft. Três exemplos que contêm o malware podem ser vistos abaixo.

Nem todas as skins são mal-intencionadas, mas se você baixou alguma semelhante às apresentadas abaixo, recomendamos que você execute uma verificação antivírus.

minecraft-skins-3
Os usuários também podem receber mensagens incomuns na caixa de entrada da conta. Alguns exemplos identificados são:

“You Are Nailed, Buy A New Computer This Is A Piece Of Sh*t”
“You have maxed your internet usage for a lifetime”
“Your a** got glued”

minecraft-5
Outra evidência de infecção inclui problemas de desempenho do sistema causados por um loop simples (tourstart.exe) ou uma mensagem de erro relacionada à formatação do disco.

tourstart-exe-minecraft-6

Como os usuários podem se proteger?

A verificação da sua máquina com um poderoso antivírus, como o Avast Free Antivírus, detecta os arquivos maliciosos e os remove. No entanto, em alguns casos, pode ser necessária a reinstalação do aplicativo Minecraft. Em circunstâncias mais extremas em que as máquinas dos usuários já foram infectadas com o malware e os arquivos de sistemas foram excluídos, recomenda-se usar a Restauração do Sistema ou de um backup.

--> -->