Dünyanın en çok oynanan oyunlarından biri olan Minecraft, bu kez eğlenceli modlarıyla değil, ciddi bir siber güvenlik tehdidiyle gündemde. Check Point Research (CPR) tarafından yayımlanan yeni bir rapora göre, oyuncuları hedef alan çok aşamalı bir siber saldırı kampanyası tespit edildi. Saldırganlar, popüler modların sahte versiyonlarını kullanarak kullanıcıların kişisel verilerini ele geçirmeyi amaçlıyor.
Sahte modlarla yayılıyor
Saldırganlar, Skyblock Extras, Polar Client, FunnyMap, Oringo ve Taunahi gibi yaygın kullanılan Minecraft modlarının birebir kopyalarını oluşturarak GitHub üzerinden dağıttı. Bu sahte modlar, oyuncuların dikkatini çekmek için yüksek puanlı yorumlarla desteklendi ve güvenilir gibi gösterildi.
Üç aşamalı saldırı zinciri
CPR’nin analizine göre saldırı üç aşamadan oluşuyor:
- Java tabanlı ilk aşama, yalnızca Minecraft kurulu sistemlerde çalışan bir indirici içeriyor. Bu sayede antivirüs yazılımlarından gizlenebiliyor.
- İkinci aşama, Discord ve Telegram gibi platformlardaki oturum bilgilerini hedef alıyor.
- Son aşamada, .NET ile yazılmış gelişmiş bir zararlı yazılım devreye girerek tarayıcı geçmişi, VPN yapılandırmaları ve kripto cüzdan bilgilerini ele geçiriyor.
500’e yakın zararlı mod tespit edildi
Araştırmacılar, Mart 2025’ten bu yana 500’e yakın kötü amaçlı modun tespit edildiğini belirtiyor. Bu modlar, özellikle hile ve otomasyon araçları gibi sunularak oyuncuların ilgisini çekiyor. Saldırının arkasındaki grubun ‘Stargazers Ghost Network’ adlı bir yapı olduğu ve GitHub üzerinde sahte hesaplar aracılığıyla faaliyet gösterdiği bildirildi.
Kullanıcılara uyarı
Uzmanlar, oyunculara yalnızca güvenilir kaynaklardan mod indirmeleri ve GitHub gibi platformlarda geliştirici geçmişini dikkatle incelemeleri konusunda uyarıda bulunuyor. Ayrıca antivirüs yazılımlarının güncel tutulması ve Java tabanlı tehditlere karşı özel taramalar yapılması öneriliyor.
