{"id":21391,"date":"2023-06-13T11:22:05","date_gmt":"2023-06-13T14:22:05","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=21391"},"modified":"2023-06-13T11:22:05","modified_gmt":"2023-06-13T14:22:05","slug":"curseforge-compromised-fractureiser","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/curseforge-compromised-fractureiser\/21391\/","title":{"rendered":"Jogadores de Minecraft est\u00e3o sob ataque"},"content":{"rendered":"<p>A comunidade de jogos tem comentado bastante sobre as <a href=\"https:\/\/www.reddit.com\/r\/feedthebeast\/comments\/142zxka\/some_curseforge_accounts_might_be\/\" target=\"_blank\" rel=\"noopener nofollow\">not\u00edcias<\/a> envolvendo o malware <strong>fractureiser<\/strong> (fraturador, em tradu\u00e7\u00e3o livre), encontrado em mods para Minecraft. Ele foi baixado por meio dos sites <strong>CurseForge<\/strong> e <strong>dev.bukkit.org<\/strong>. A recomenda\u00e7\u00e3o \u00e9 que os jogadores n\u00e3o fa\u00e7am download de novos arquivos <strong>.jar <\/strong>a partir deles. Qualquer pessoa que tenha feito isso recentemente deve verificar seus computadores com solu\u00e7\u00f5es antimalware. O malware afeta os usu\u00e1rios de vers\u00f5es do jogo para Windows e Linux (parece que os de outros sistemas operacionais est\u00e3o seguros).<\/p>\n<h2>Como o malware invadiu os mods<\/h2>\n<p>De acordo com a hip\u00f3tese inicial, cibercriminosos desconhecidos comprometeram as contas dos desenvolvedores de mods no CurseForge.com e no dev.bukkit.org. Isso permitiu que eles espalhassem o c\u00f3digo malicioso por meio de v\u00e1rios mods.<\/p>\n<p>No entanto, os desenvolvedores do Prism Launcher <a href=\"https:\/\/prismlauncher.org\/news\/cf-compromised-alert\/\" target=\"_blank\" rel=\"noopener nofollow\">suspeitam<\/a> que algu\u00e9m possa ter explorado uma vulnerabilidade desconhecida na plataforma Overwolf. Eles tamb\u00e9m postaram uma <a href=\"https:\/\/prismlauncher.org\/news\/cf-compromised-alert\/#who-has-been-affected-(so-far)\" target=\"_blank\" rel=\"noopener nofollow\">lista dos mods<\/a> conhecidos por estarem infectados com o fractureiser.<\/p>\n<h2>O que \u00e9 o malware \u2018Fractureiser\u2019 e o que ele faz?<\/h2>\n<p><a href=\"https:\/\/hackmd.io\/@jaskarth4\/B1gaTOaU2\" target=\"_blank\" rel=\"noopener nofollow\">Os entusiastas relatam<\/a> que, ap\u00f3s a instala\u00e7\u00e3o do mod comprometido, ao executar do jogo, o c\u00f3digo malicioso faz o download e executa uma carga \u00fatil adicional do servidor remoto. Essa carga \u00fatil come\u00e7a a criar pastas e scripts e faz altera\u00e7\u00f5es no registro do sistema para executar malware ap\u00f3s uma reinicializa\u00e7\u00e3o.<\/p>\n<p>Pesquisadores independentes afirmam que, no est\u00e1gio final do ataque, o malware tenta espalhar a infec\u00e7\u00e3o para todos os arquivos .jar no computador (supostamente tentando alcan\u00e7ar todos os downloads de mods feitos anteriormente). Esse malware tamb\u00e9m pode roubar arquivos de cookies e credenciais armazenadas nos navegadores. Al\u00e9m disso, \u00e9 capaz de alternar endere\u00e7os de criptocarteiras na \u00e1rea de transfer\u00eancia.<\/p>\n<h2>Sinais de infec\u00e7\u00e3o do Fractureiser<\/h2>\n<p>A discuss\u00e3o do Reddit <a href=\"https:\/\/www.reddit.com\/r\/feedthebeast\/comments\/142zxka\/some_curseforge_accounts_might_be\/\" target=\"_blank\" rel=\"noopener nofollow\">concluiu<\/a> que a presen\u00e7a do arquivo libWebGL64.jar pode ser considerada um sinal definitivo de infec\u00e7\u00e3o. O malware cria esse arquivo na pasta %LOCALAPPDATA%\/Microsoft Edge\/ ou \/AppData\/Local\/Microsoft Edge\/. Para encontrar este arquivo, voc\u00ea precisa ir ao menu \u201cOp\u00e7\u00f5es de pasta\u201d (via \u201cExibir\u201d, depois \u201cOp\u00e7\u00f5es\u201d no Windows File Explorer) e ativar a op\u00e7\u00e3o \u201cMostrar arquivos, pastas e unidades ocultos\u201d e desativar \u201cOcultar arquivos protegidos arquivos do sistema operacional\u201d na guia \u201cVisualizar\u201d.<\/p>\n<h2>Como se manter protegido?<\/h2>\n<p>Se voc\u00ea joga Minecraft e usa modifica\u00e7\u00f5es de terceiros, ent\u00e3o provavelmente a primeira coisa que voc\u00ea deve fazer \u00e9 verificar seu PC com um <a href=\"https:\/\/www.kaspersky.com.br\/premium?icid=br_bb2022-kdplacehd_acq_ona_smm__onl_b2c_kdaily_lnk_sm-team___kprem___\" target=\"_blank\" rel=\"noopener\">software antiv\u00edrus confi\u00e1vel<\/a>. Se a an\u00e1lise detectar e excluir o malware, \u00e9 uma boa ideia alterar todas as senhas dos recursos online acessados \u200b\u200ba partir deste computador.<\/p>\n<p>Al\u00e9m disso, aconselhamos acompanhar as not\u00edcias sobre o caso e abster-se de instalar novos mods para Minecraft at\u00e9 que a situa\u00e7\u00e3o seja resolvida (e n\u00e3o estamos falando apenas de mods baixados diretamente dos sites mencionados: seria prudente n\u00e3o os instalar por meio de terceiros). Mods, add-ons e plugins para outros jogos que s\u00e3o distribu\u00eddos da mesma forma n\u00e3o parecem ser afetados por este ataque. No entanto, se o canal de entrega estiver realmente comprometido, \u00e9 poss\u00edvel que os invasores encontrem m\u00e9todos alternativos de infec\u00e7\u00e3o e coloquem em risco os jogadores de outros jogos tamb\u00e9m.<\/p>\n<p>Como regra geral, as modifica\u00e7\u00f5es do jogo s\u00e3o desenvolvidas por usu\u00e1rios engajados e hospedadas em plataformas independentes. Portanto, os desenvolvedores de jogos n\u00e3o s\u00e3o respons\u00e1veis \u200b\u200bpor essas cria\u00e7\u00f5es e n\u00e3o garantem a seguran\u00e7a de seu uso. Assim, \u00e9 melhor baixar mods de jogos apenas para computadores com <a href=\"https:\/\/www.kaspersky.com.br\/premium?icid=br_bb2022-kdplacehd_acq_ona_smm__onl_b2c_kdaily_lnk_sm-team___kprem___\" target=\"_blank\" rel=\"noopener\">solu\u00e7\u00f5es de seguran\u00e7a<\/a> instaladas.<\/p>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"premium-gamer\"><input type=\"hidden\" class=\"placeholder_for_banner\" data-cat_id=\"premium-gamer\" value=\"19875\">\n","protected":false},"excerpt":{"rendered":"<p>Os mods do Minecraft baixados de v\u00e1rios sites de jogos populares cont\u00eam malware perigoso. Eis o que sabemos at\u00e9 agora.<\/p>\n","protected":false},"author":2698,"featured_media":21392,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1260],"tags":[447,350,1983,230],"class_list":{"0":"post-21391","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"tag-gamers","9":"tag-linux","10":"tag-minecraft","11":"tag-windows"},"hreflang":[{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/curseforge-compromised-fractureiser\/21391\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/curseforge-compromised-fractureiser\/25778\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/curseforge-compromised-fractureiser\/21219\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/curseforge-compromised-fractureiser\/28472\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/curseforge-compromised-fractureiser\/26077\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/curseforge-compromised-fractureiser\/26404\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/curseforge-compromised-fractureiser\/28887\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/curseforge-compromised-fractureiser\/35519\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/curseforge-compromised-fractureiser\/48388\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/curseforge-compromised-fractureiser\/20695\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/curseforge-compromised-fractureiser\/30228\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/curseforge-compromised-fractureiser\/26391\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/curseforge-compromised-fractureiser\/32087\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/curseforge-compromised-fractureiser\/31770\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.com.br\/blog\/tag\/gamers\/","name":"gamers"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/21391","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/users\/2698"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/comments?post=21391"}],"version-history":[{"count":2,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/21391\/revisions"}],"predecessor-version":[{"id":21394,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/21391\/revisions\/21394"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media\/21392"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media?parent=21391"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/categories?post=21391"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/tags?post=21391"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}