Malware infecta Windows e Linux para atacar servidores Minecraft

A Microsoft alertou que um novo Malware infecta Windows e Linux para atacar servidores Minecraft. Confira os detalhes dessa ameaça.

Um novo botnet de malware de plataforma cruzada chamado ‘MCCrash’ está infectando dispositivos Windows, Linux e IoT para conduzir ataques distribuídos de negação de serviço em servidores Minecraft.

Malware infecta Windows e Linux para atacar servidores Minecraft

A botnet foi descoberta pela equipe de inteligência de ameaças da Microsoft, que relata que, uma vez que infecta um dispositivo, pode se espalhar para outros sistemas na rede por meio de credenciais SSH de força bruta.

“Nossa análise da botnet DDoS revelou funcionalidades especificamente projetadas para atingir servidores Java Minecraft privados usando pacotes criados, provavelmente como um serviço vendido em fóruns ou sites darknet.”, explica o novo relatório da Microsoft.

Atualmente, a maioria dos dispositivos infectados pelo MCCrash está localizada na Rússia, mas também há vítimas no México, Itália, Índia, Cazaquistão e Cingapura.

Malware infecta Windows e Linux para atacar servidores Minecraft
Malware infecta Windows e Linux para atacar servidores Minecraft – Mapa de calor das vítimas do MCCrash (Microsoft)

Os servidores do Minecraft costumam ser alvos de ataques DDoS, seja para prejudicar os jogadores no servidor ou como parte de uma demanda de extorsão.

Em outubro de 2022, a Cloudflare relatou a mitigação de um ataque DDoS recorde de 2,5 Tbbs direcionado ao Wynncraft, um dos maiores servidores de Minecraft do mundo.

Começa com software pirata

A Microsoft diz que os dispositivos são inicialmente infectados com o MCCrash depois que os usuários instalam ferramentas falsas de ativação de produto do Windows e ativadores de licença trojanizados do Microsoft Office (ferramentas KMS).

As ferramentas de cracking contêm código malicioso do PowerShell que baixa um arquivo chamado ‘svchosts.exe’, que inicia ‘malicious.py’, a carga útil principal do botnet.

Malware infecta Windows e Linux para atacar servidores Minecraft
Malware infecta Windows e Linux para atacar servidores Minecraft – Métodos de ataque no script malicioso.py Fonte: BleepingComputer

O MCCrash então tenta se espalhar para outros dispositivos na rede realizando ataques SSH de força bruta em dispositivos IoT e Linux.

“O botnet se espalha enumerando credenciais padrão em dispositivos habilitados para Secure Shell (SSH) expostos à Internet.

Como os dispositivos IoT são comumente habilitados para configuração remota com configurações potencialmente inseguras, esses dispositivos podem estar em risco de ataques como este botnet.

O mecanismo de disseminação do botnet o torna uma ameaça única, porque embora o malware possa ser removido do PC de origem infectado, ele pode persistir em dispositivos IoT não gerenciados na rede e continuar operando como parte do botnet.” – Microsoft.

O arquivo Python malicioso pode ser executado em ambientes Windows e Linux. Na primeira inicialização, ele estabelece um canal de comunicação TCP com o C2 pela porta 4676 e envia informações básicas do host, como em qual sistema está sendo executado.

No Windows, o MCCrash estabelece persistência adicionando um valor do Registro à chave “Software\Microsoft\Windows\CurrentVersion\Run”, com o executável como seu valor.

Malware infecta Windows e Linux para atacar servidores Minecraft
Malware infecta Windows e Linux para atacar servidores Minecraft – A cadeia de infecção e ataque do botnet (Microsoft)

A botnet recebe comandos criptografados do servidor C2 com base no tipo de sistema operacional identificado na comunicação inicial.

O C2 enviará um dos seguintes comandos de volta ao dispositivo MCCrash infectado para executar:

Comandos que o C2 envia para MCCrash (Microsoft)
Malware infecta Windows e Linux para atacar servidores Minecraft – Comandos que o C2 envia para MCCrash (Microsoft)

A maioria dos comandos acima é especializada em ataques DDoS em servidores Minecraft, sendo ‘ATTACK_MCCRASH’ o mais notável devido ao uso de um novo método para travar o servidor de destino.

De acordo com a Microsoft, os agentes de ameaças criaram o botnet para atingir a versão 1.12.2 do servidor Minecraft, mas todas as versões de servidor de 1.7.2 e até 1.18.2 também são vulneráveis a ataques.

Participação de mercado da versão do servidor Minecraft (Microsoft)
Malware infecta Windows e Linux para atacar servidores Minecraft – Participação de mercado da versão do servidor Minecraft (Microsoft)

A versão 1.19, lançada em 2022, não é afetada pela implementação atual dos comandos ATTACK_MCCRASH, ATTACK_[MCBOT|MINE] e ATTACK_MCDATA.

Ainda assim, um número considerável de servidores do Minecraft está rodando em versões mais antigas, a maioria delas localizadas nos Estados Unidos, Alemanha e França.

Distribuição vulnerável do servidor Minecraft (Microsoft)
Distribuição vulnerável do servidor Minecraft (Microsoft)

“A capacidade exclusiva dessa ameaça de utilizar dispositivos IoT que muitas vezes não são monitorados como parte da botnet aumenta substancialmente seu impacto e reduz suas chances de ser detectado.”, comenta a Microsoft.

Para proteger seus dispositivos IoT de botnets, mantenha seu firmware atualizado, altere as credenciais padrão com uma senha forte (longa) e desative as conexões SSH se não forem necessárias.

Sobre o Edivaldo Brito

Edivaldo Brito é analista de sistemas, gestor de TI, blogueiro e também um grande fã de sistemas operacionais, banco de dados, software livre, redes, programação, dispositivos móveis e tudo mais que envolve tecnologia.

Deixe um comentário

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.