Selon Pointwild, des chercheurs en sécurité ont analysé une campagne malveillante qui abuse de la popularité de Minecraft en se faisant passer pour des installateurs « Eaglercraft 1.12 Offline ». La cible principale est un public jeune et des joueurs occasionnels attirés par des téléchargements non officiels.
Le logiciel malveillant embarque le RAT NjRat via Celesty Binder, qui assemble du contenu HTML légitime d’Eaglercraft avec la charge utile. À l’exécution, il dépose plusieurs fichiers (dont CLIENT.exe et WindowsServices.exe), met en place une persistance via les clés Run du registre, et ouvre des exceptions pare-feu via des commandes netsh.
Côté capacités, le malware met en œuvre un keylogger (données stockées dans le registre), des captures d’écran avec détection des doublons, l’énumération de la webcam, ainsi qu’une communication C2 persistante vers 13.202.226.61:12829 au moyen d’un tunneling Ngrok. Des techniques anti-analyse sont intégrées, dont une liste noire de processus qui peut provoquer un BSOD lors de la détection d’outils de sécurité, et des routines d’autodestruction pour compliquer l’analyse forensique.
IOC observés:
- Hash (MD5) de l’échantillon: df116774536956eba650466db8c135b5
- Fichiers déposés: CLIENT.exe, WindowsServices.exe
- Adresse C2: 13.202.226.61:12829 (tunnel Ngrok)
- Mutex: 9bf8c938863c256b03cb64cc0d3cad79
- Actions réseau/système: création d’exceptions pare-feu via netsh
TTPs mis en évidence:
- Déguisement de malware dans un faux installateur de jeu (ingénierie sociale 🎮)
- Packaging via Celesty Binder de contenu légitime + payload NjRat
- Persistance par clés Run du registre
- Keylogging, captures d’écran, accès webcam (surveillance)
- C2 persistant via Ngrok
- Anti-analyse: blacklist de processus, crash (BSOD) à la détection, évasion forensique (autodestruction), modification du pare-feu
Il s’agit d’une analyse de menace visant à documenter la campagne, ses capacités et ses indicateurs techniques.
🧠 TTPs et IOCs détectés
TTPs
[‘Déguisement de malware dans un faux installateur de jeu (ingénierie sociale)’, ‘Packaging via Celesty Binder de contenu légitime + payload NjRat’, ‘Persistance par clés Run du registre’, ‘Keylogging’, ‘Captures d’écran’, ‘Accès webcam’, ‘C2 persistant via Ngrok’, ‘Anti-analyse: blacklist de processus, crash (BSOD) à la détection’, ‘Évasion forensique (autodestruction)’, ‘Modification du pare-feu’]
IOCs
{‘hash’: ‘df116774536956eba650466db8c135b5’, ‘fichiers_déposés’: [‘CLIENT.exe’, ‘WindowsServices.exe’], ‘adresse_c2’: ‘13.202.226.61:12829’, ‘mutex’: ‘9bf8c938863c256b03cb64cc0d3cad79’}
🔗 Source originale : https://www.pointwild.com/threat-intelligence/fake-minecraft-game-spreads-njrat-malware-what-you-need-to-know