Minecraft oyuncuları, sahte modlar üzerinden yayılan gelişmiş bir siber saldırı dalgasıyla hedef alınıyor. “Stargazers Ghost Network” adlı bir saldırı grubu tarafından yürütülen bu kampanya, 2025’in Mart ayından itibaren aktif olarak Minecraft’ın modlama ekosistemini istismar ediyor. Saldırganlar, GitHub üzerinde güvenilir görünümlü depolar oluşturarak, popüler modlama araçları gibi davranan zararlı JAR dosyaları yayıyor. Bu dosyalar özellikle Oringo ve Taunahi gibi Minecraft topluluğunda sıkça kullanılan makro ve script araçlarını taklit ederek, oyuncuların dikkatini çekiyor ve indirme eylemini teşvik ediyor.
Sisteme bir kez yüklendiklerinde, bu sahte modlar üç aşamalı bir zararlı yazılım zinciri başlatıyor. İlk aşama olan Java tabanlı loader, sistemde sanal makine, analiz ortamı ya da güvenlik aracı çalışıp çalışmadığını kontrol ediyor; örneğin Wireshark, TCPView gibi programlar veya VMware, VirtualBox gibi sanallaştırma çözümleri algılanırsa, çalışmasını otomatik olarak durduruyor. Bu loader daha sonra, zararlı içeriği Pastebin üzerinde barındırılan base64 kodlu bağlantılar aracılığıyla indirerek ikinci aşama olan bir Java bilgi hırsızını (stealer) devreye alıyor. Son olarak .NET ile yazılmış bir credential harvester bileşeni çalıştırılarak, kurbanın sistemindeki hassas veriler toplanıyor.
Toplanan veriler arasında Discord token’ları, Telegram oturum verileri, kripto para cüzdan bilgileri, tarayıcı şifreleri ve hatta sistem ekran görüntüleri yer alıyor. Malware, yalnızca Minecraft Forge modlama altyapısıyla çalışan sistemlerde aktif hale gelebildiği için, birçok analiz ortamında etkisiz kalıyor ve bu da onu güvenlik çözümleri için büyük ölçüde görünmez kılıyor. Nitekim kampanyada kullanılan ilk aşama zararlının, VirusTotal üzerinde 64 güvenlik ürünü tarafından tespit edilemediği raporlandı. Bu durum, klasik güvenlik mekanizmalarının tehdit karşısında yetersiz kaldığını ortaya koyuyor.
Check Point Research ekibi tarafından ortaya çıkarılan bu saldırının teknik izlerine bakıldığında, zararlı yazılım içerisinde Rusça dil kalıntılarına ve UTC+3 saat dilimi kullanımına rastlanıyor. Bu da saldırının Rusya merkezli olabileceğine işaret ediyor. Saldırganlar ayrıca sosyal mühendislik detaylarına da özen göstererek, “JoeBidenMama” takma adlı Pastebin hesabı üzerinden komut ve kontrol (C2) adreslerini gizli şekilde dağıtıyor. Komuta altyapısına ait günlüklerde 1.500’den fazla bağlantı kaydı tespit edilmesi, potansiyel mağdur sayısının binlerle ifade edilebileceğini gösteriyor.
Bu saldırı, yalnızca oyuncuların değil, aynı zamanda güvenlik profesyonellerinin de dikkatini çekmesi gereken bir vaka. Çünkü bu kampanya, meşru görünen bir platformun –Minecraft mod ekosisteminin– nasıl ileri düzey bir siber saldırı vektörüne dönüşebileceğini gözler önüne seriyor. Topluluk içindeki güven ilişkilerini suistimal eden bu yaklaşım, özellikle genç ve teknik bilgiye sahip olmayan oyuncular için ciddi bir tehdit oluşturuyor. Siber güvenlik dünyası açısından ise bu olay, oyun odaklı sosyal mühendislik saldırılarının geldiği boyutu net biçimde ortaya koyuyor.
Kaynak:https://cybersecuritynews.com/fake-minecraft-mods-allow-attackers-to-control-your-system/
