マインクラフトの人気MOD数十種類がマルウェア「Fractureiser」に感染していると判明

by Tamahikari Tammas

ネット上で公開されている数十種類のMODに「Fractureiser」というマルウェアが仕込まれていたことが判明し、提供元のプラットフォームがMODのダウンロードやアップデートをただちに中止するように呼びかけています。

THIS DOC IS OLD, WE HAVE MOVED AGAIN - HackMD

https://hackmd.io/B46EYzKXSfWSF35DeCZz9A

Prism Launcher - [MALWARE WARNING] "fractureiser" malware in many popular Minecraft mods and modpacks

https://prismlauncher.org/news/cf-compromised-alert/

GitHub - fractureiser-investigation/fractureiser: Information about the fractureiser malware

https://github.com/fractureiser-investigation/fractureiser

New Fractureiser malware used CurseForge Minecraft mods to infect Windows, Linux

https://www.bleepingcomputer.com/news/security/new-fractureiser-malware-used-curseforge-minecraft-mods-to-infect-windows-linux/

We are looking into an incident where a malicious user uploaded projects to the platform. This is relevant only to Minecraft users and we have banned all accounts involved.

CurseForge itself is not compromised in any way! Please follow the thread below for more information ????— CurseForge (@CurseForge) June 7, 2023

Fractureiserは、MODやプラグインの配布プラットフォームであるCurseForgeとCraftBukkitにアップロードされたプロジェクトで見つかったマルウェアです。攻撃対象はWindowsとLinuxのシステムで、名前の由来はCurseForgeで悪意のあるファイルをアップロードしたアカウント名だとのこと。

Fractureiserは4段階にわたって攻撃を行います。まず、FractureiserはMODに組み込まれた悪意のある関数を実行し、「dl.jar」というファイルをダウンロードして、新しいユーティリティクラスとして実行します。この時、マシンにJavaがインストールされているかを確認し、インストールされていない場合は自動でインストールするとのこと。



このdl.jarが実行されると、Fractureiserは攻撃者のC2サーバーのIPアドレスを取得します。次に、ポート8083でそのIPアドレスに接続してファイルをダウンロードし、「%LOCALAPPDATA%\Microsoft Edge\libWebGL64.jar」あるいは「~/.config/.data/lib.jar」として保存します。そして、Fractureiserは、「Llib.jar」あるいは「libWebGL64.jar」というJARファイルを自動起動するエントリをレジストリに設定し、悪意のあるファイルをダウンロードします。



悪意のあるファイルが実行されると、ウェブブラウザに保存されているCookieやアカウント認証情報を盗んだり、クリップボードにコピーされている仮想通貨ウォレットのアドレスを置き換えたり、Microsoft・マインクラフト・Discordのアカウント情報を盗んだりといった被害があるとのこと。さらに、Fractureiserはファイルシステム上のすべてのJARファイルに悪意のある関数を挿入して感染を拡大させるほか、Windowsの起動時にスクリプトを実行するショートカットを作成します。



記事作成時点でFractureiserの影響を受けることが確認されているMODやプラグインは以下の通り。

・CurseForge

Dungeons Arise

Sky Villages

Better MC modpack series

Fabuously Optimized (Found to not be compromised)

Dungeonz

Skyblock Core

Vault Integrations

AutoBroadcast

Museum Curator Advanced

Vault Integrations Bug fix

Create Infernal Expansion Plus - Mod removed from CurseForge

・CraftBukkit

Display Entity Editor

Haven Elytra

The Nexus Event Custom Entity Editor

Simple Harvesting

MCBounties

Easy Custom Foods

Anti Command Spam Bungeecord Support

Ultimate Leveling

Anti Redstone Crash

Hydration

Fragment Permission Plugin

No VPNS

Ultimate Titles Animations Gradient RGB

Floating Damage

悪意のある関数を含んだMODファイルの一部は2023年4月中旬から確認されているとのこと。上記のMODやプラグインを過去3週間にダウンロードしたプレイヤーが影響を受けるとのことですが、実際にFractureiserの感染がどれだけ広がっているのかは不明です。

ハッカーフォーラムのHackMDによると、すでに有志がマインクラフトの開発元であるMojangに連絡をしており、CurseForgeをはじめとするさまざまなMODローダーの開発チームに検出ソフトウェアを配布する予定だとのこと。

なお、悪意のある関数を含んだファイルがシステム上に存在するかどうかを確認するスクリプトを、マインクラフトのMODランチャーであるPrism Launcherの公式サイトがまとめています。

Prism Launcher - [MALWARE WARNING] "fractureiser" malware in many popular Minecraft mods and modpacks

https://prismlauncher.org/news/cf-compromised-alert/#automated-script