Fałszywe aktualizacje Minecrafta powodują zainfekowanie tysięcy komputerów

Badacze Microsoftu odkryli botnet Windows-Linux, który niszczy serwery Minecrafta w „bardzo skutecznych” atakach DDoS.

Jak donosi ArsTechnica(Otwiera się w nowej karcie), botnet MCCrash wysyła polecenie, które uzupełnia okno dialogowe wprowadzania nazwy użytkownika na stronie logowania serwera Minecraft, co powoduje awarię serwera i wyczerpuje zasoby.

„Użycie zmiennej env powoduje użycie biblioteki Log4j 2, co prowadzi do nieprawidłowego zużycia zasobów systemowych (niezwiązanego z luką Log4Shell), demonstrując ukierunkowaną i wysoce efektywną metodę DDoS” – napisali badacze z Microsoftu.

Ogromny zasięg botnetu MCCrash

Microsoft zauważył również, że MCCrash może powodować awarie serwerów, na których działa wiele różnych wersji oprogramowania serwera gry.

W tym miejscu robi się trochę podstępnie: sam MCCrash jest zakodowany na stałe tylko dla wersji 1.12.2, ale technika ataku wystarczy, aby sprowadzić serwery z wersją 1.7.2 do wersji 1.18, która według szacunków ArsTechnica jest mniej więcej taka sama. wszystkie uruchomione usługi Minecraft. Ten dzień.

Aktualizacja oprogramowania serwera do wersji 1.9 sprawia, że ​​technika botnetu staje się nieskuteczna, ale nawet bez niej Microsoft zdaje sobie sprawę, że wpływ botnetu jest ograniczony.

„Szeroka gama zagrożonych serwerów Minecraft podkreśla wpływ, jaki mogłoby mieć to złośliwe oprogramowanie, gdyby zostało specjalnie zakodowane, aby wpływać na wersje po 1.12.2” – napisali badacze Microsoftu.

„Wyjątkowa zdolność tego zagrożenia do korzystania z urządzeń Internetu rzeczy (IoT), które często nie są monitorowane jako część botnetu, znacznie zwiększa jego wpływ i zmniejsza szanse na wykrycie”.

Najczęstszymi początkowymi punktami infekcji MCCcrash są komputery z systemem Windows, na których zainstalowane jest oprogramowanie, które rzekomo aktywuje system operacyjny z nielegalnymi licencjami, ale które zawiera przede wszystkim złośliwe oprogramowanie, które następnie instaluje skrypt Pythona zapewniający logikę botnetu.

Zainfekowane urządzenia Windows skanują następnie Internet w poszukiwaniu urządzeń z dystrybucjami Linuksa, takimi jak Debian, Ubuntu i CentOS, i używają domyślnych danych logowania do uruchamiania tego samego skryptu .py na tych nowych urządzeniach, które są następnie wykorzystywane do przeprowadzania ataków DDoS w Minecraft. . serwery i inne urządzenia.

Microsoft nie ujawnił liczby urządzeń zainfekowanych MCCrash, ale ArsTechnica twierdzi, że podział geograficzny ujawnia, że ​​​​wiele z nich znajduje się w Rosji, co odzwierciedla nastroje zawarte w raporcie Microsoft Digital Defense Report 2022, który mówi, że konflikt rosyjsko-ukraiński jest częściowo spowodowany cyberprzestępczością

Udostępnij to