Malware?

[VollzeitPrinz]

Information - Vorsicht vor Minecraft Malware "fractureiser"

Hallo Community, in unserem Discord Server wurden wir von unserem Mitglied TheMeinerLP#0001 auf die Malware "fractureiser" aufmerksam gemacht, die sich in der Minecraft Szene leider sehr schnell und weit verbreiten konnte, bis sie nun entdeckt wurde. Dieser Fall ist so aktuell, dass auch noch...

minecraft-server.eu

Da ich keine Ahnung davon habe und nur iwas mit "Mods" rausgelesen habe, wollte ich nun fragen ob ich beim spielen auf dem cytooxien Server bedenken dies bezüglich haben muss.

 

[shellny]

Ein Infizieren mit der Malware "fractureiser" geschieht durch den Download von korrumpierten Dateien / Mods, die weitesgehend mit CurseForge zusammen hängen.
Hier eine Liste mit allen bisher bekannten infizierten Mods und Modpacks:

Spoiler: Infizierten Mods

. Buried Barrels	5
2. Sky Villages [Forge/Fabric]	481
3. Simply Houses	169
4. Skyblock Core	44
5. When Dungeons Arise -Forge/Fabric	1,248

Modpacks

Modpack Name	Total non-unique downloads at time of detection
1. Better MC [Forge] - BMC3	1,040
2. Medieval MC [Forge] - MMC3	246
3. Prominence [Forge]	23

Projects that are infected and taken down permanently:

Mods​

Mod Name	Total non-unique downloads at time of detection
1. Golem Awakening	11
2.Phanerozoic Worlds	283
3. Autobroadcast	21
4. Museum Curator Advanced	48
5. Vault Integrations (Bug Fix) *Note - Not the Modpack Vault Integrations	160
6. dungeonx * Note - Not DungeonZ	1,227
7. More and Ore advanced	257
8. Anti ChatReport	61
9. Additional Weapons+	644

10. Create: Diesel and Oil Generators	366
11. Ultra Swords Mod	445
12. Simple Frames	41
13. XPClumps *Note - Not Clumps	50
14. Target Dummy	33
15. Sleeping Bags	50

Modpacks​

Modpack Name	Total non-unique downloads at time of detection
1. UVision ENHANCED(server pack only)	2
2. UVision Server(server pack only)	1
3. UVision LITE (server pack only)	2

Bukkit Plugins​

Bukkit Plugin Name	Total non-unique downloads at time of detection
1. AmazingTitles	27
2. HavenElytra	83
3. DisplayEntityEditor	23
4.The Nexus Event Custom Event	15
5. SimpleHarvesting	20
6. McBounties	18
7. Easy Custom Foods	21
8. AntiCommandSpam Bungeecord Support	12
9. UltimateLevels	12

10. AntiRedstoneCrash	11
11. hydrationPlugin	33
12. NoVPN	14
13. Fragment Permission Plugin	29
14. Skelegram - The Skript Telegram Addon!	17
15. AntiCrashXXL	78
16. Holographic Plots	39
17. Beacon Waypoints	31
18. Treecapitator	264

19. PaperCurrency	24
20. The Auction House	103
21. AlwaysChicken	30
22. Tpa Deluxe Simple Teleportation	286
23. Floating Damage	151
24. MinecraftGPT	27
25. DoubleJump Plus	30
26. SculkInvasion	40
27. SimpleHealing	15
28. Vanilla Challenges	31

29. TPS Bar	66
30. SemiHardcore	41
31. TNT Tag Minigame	34
32. Command Timers	45
33. InstaSmelt	22
34. Neo Performance	45
35. Chat Games	22
36. ServManager

Dies kann folgende Konsequenzen mit sich tragen:

Spoiler: Folgen

Propagate itself to all jar files on the filesystem, possibly infecting mods that were not downloaded from CurseForge or BukkitDev
[*]Steal cookies and login information for many web browsers
[*]Replace cryptocurrency addresses in the clipboard with alternates that are presumably owned by the attacker
[*]Steal Discord credentials
[*]Steal Microsoft and Minecraft credentials

So kannst du prüfen, ob du davon betroffen bist:

Spoiler: Prüfung

You can check whether the malware ever ran on your computer, since Stage1 attempts to save Stage 2 at several unusual paths:

• Linux: ~/.config/.data/lib.jar
• Windows: %LOCALAPPDATA%\Microsoft Edge\libWebGL64.jar (or ~\AppData\Local\Microsoft Edge\libWebGL64.jar)
  • Make sure to show hidden files when checking
  • Yes, “Microsoft Edge” with a space. MicrosoftEdge is the legitimate directory used by actual Edge.
  • Also check the registry for an entry at HKEY_CURRENT_USER:\Software\Microsoft\Windows\CurrentVersion\Run
  • Or a shortcut in %appdata%\Microsoft\Windows\Start Menu\Programs\Startup
• All other OSes: Unaffected. The malware is hardcoded for Windows and Linux only. It is possible it will receive an update adding payloads for other OSes in the future.

There are scripts available here which will help you check whether these files exist.

Before downloading, the malware will create the enclosing directory if it does not exist. Windows/MS Edge does not use the “Microsoft Edge”-with-a-space directory, and Linux software does not use ~/.config/.data, so these folders existing is a likely sign that Stage1 has executed on a victim computer.

If you find these files, you should delete them immediately, but consider all JAR files on your system compromised, and potentially all logins on your web browser as well. Passwords should be changed.

Falls du genaueres wissen möchtest, empfehle ich, diese Seite zu besuchen: CurseForge-Seite
Alle hier angegebenen Informationen sind ebenfalls ausführlich aus deren Seite zu entnehmen.

Es handelt sich aber insgesamt um kein Cytooxien-internes Problem. Falls du nie in Kontakt mit Mods gekommen bist, sollte das ebenfalls dir keine Bedenken geben.
Wenn noch Fragen offen sind, dann empfehle ich dringend, das offizielle Statement zu lesen.

Mit freundlichen Grüßen,
shellny

 

[VollzeitPrinz]

Vielen Dank für die Aufklärung!