Minecraftは、3Dブロックで構成された仮想空間の中で、ものづくりや冒険が楽しめるゲームです。
仮想空間の世界には、草原や湿地、砂漠、雪原など多様な地形が広がっていて、プレーヤーはその中で、木や岩、鉄や金など、さまざまな種類のブロックを集めて道具や建物を作ったり、知らない場所に冒険に行ったりして楽しみます。
多くの人を引き付けている理由の一つに、MODがあります。
そのままのMinecraftを楽しむだけでなく、MODを使うことでゲームに新しい要素を追加したり、既存の要素を変更したりすることで、遊びの幅を広げることができます。
MODは開発・運営元ではないユーザーが作成したゲームの拡張プログラムやデータのことです。
多くのMODが公開されています。
そんな中に、悪意あるものがあったことが確認されました。
- OringoやTaunahi
これらはスクリプトやマクロを動作させることができるツールです。
そもそもゲームは人が楽しむためにあるものですが、こういったツールを使うことで、ゲームの前に人がいなくても、ゲームを自動で動作させることができるようになったりします。
ゲームのなかの仮想世界で単純な繰り返しの操作を実施するのは楽しくない場合があります。
そんな場合に、こういったツールで自動操作してしまおう、というような使われ方をすることがあります。
このような関係で、この種のツールは一定の人気があります。
この種のツールを模したMODが多数配布されていました。 - 多段階感染
この偽のMODによってマルウェアに感染する様子は次の通りです。- MinecraftユーザがMODをダウンロードする
- MinecraftユーザがMODを手元環境のMODディレクトリに保存する
- ユーザがMinecraftを起動する
- Minecraftが起動する際にMODを読み込む
- 読み込まれたMODが第1段階のローダーとして機能し、第2段階のスティーラーをダウンロードする
第1段階のローダーには仮想環境で動作している場合に動作しないなどの検出回避機能が実装されています。
解析環境でなさそうとなった場合に、Pastebinに置かれたファイルを読み取って第2段階のファイルのURLを取得し、それをダウンロードします。 - 第2段階のスティーラーが仕事を開始する
いくつかの仕事を開始します。
.NET Stealerをダウンロードし、環境の各種情報を収集します。
収集される情報は、Minecraftのトークンや、Discordトークン、ユーザ名やプレイヤーIDなどです。
それだけでなく、各種ブラウザに保持されている情報、暗号資産ウォレットの情報、VPNの認証情報、SteamやFileZillaなどの認証情報も対象となります。
収集した情報はzipファイルにまとめて圧縮され、Telegramで脅威アクターに送信します。
このマルウェアは脆弱性を悪用して勝手に侵入してくる類のものではありません。
ゲーム利用者が自分の手でマルウェアを入手して自分の環境に設置して感染に至るものとなっています。
もちろん、その入手したものがマルウェアだと思って入手しているわけではないのですが。
MODはいろいろなゲームで利用できるようになっている魅力的な仕組みです。
楽しさを向上させてくれるMODに出会えるとよいのですが、この例のようなものに手を出してしまうと悲しいことになってしまいます。
この例は、人気ゲームコミュニティがマルウェア配布の有効な手段として悪用される可能性を再確認させることとなりました。
なにかをダウンロードして利用する際には、十分な注意が必要ですね。
Fake Minecraft mods distributed by the Stargazers Ghost Network to steal gamers’ data
https://research.checkpoint.com/2025/minecraft-mod-malware-stargazers/
| この記事をシェア |
|
|---|
