Gli esperti del team Microsoft Security Threat Intelligence hanno individuato una botnet cross-platform, denominata MCCrash, che infetta dispositivi Windows, Linux e IoT (Internet of Things) per effettuare attacchi DDoS (Distributed Denial of Service) contro server Minecraft Java. La maggioranza dei dispositivi si trova in Russia, ma alcuni sono anche in Italia.
MCCrash: attacchi DDoS contro Minecraft
I ricercatori di Microsoft hanno scoperto che i dispositivi Windows sono infettati attraverso l’installazione di tool per il crack del sistema operativo. Questi tool scaricano e lanciano una versione fake di svchost.exe con un comando PowerShell. Viene quindi eseguito il file malicious.py, uno script Python che rappresenta il payload principale della botnet.
Successivamente viene effettuata la ricerca su Internet di altri dispositivi (Linux e IoT) che sono stati configurati per l’accesso remoto tramite SSH. Se vengono trovate le credenziali con un attacco brute force, sul dispositivo viene scaricato il file Updater.zip che crea il file fuse, che a sua volta scarica una copia di malicious.py. L’infezione continua a propagarsi perché può essere rimossa dai PC, ma non dai dispositivi IoT.
I bot (dispositivi infettati) vengono quindi utilizzati per eseguire attacchi DDoS contro i server Minecraft. Il malware è stato scritto per colpire le versioni dei server fino 1.18.2 (le versioni 1.19.x sono immuni). Microsoft suggerisce di bloccare l’accesso remoto tramite SSH o almeno scegliere password robuste. È ovviamente consigliato l’aggiornamento dei server, oltre all’installazione di una soluzione di sicurezza che blocca la diffusione dell’infezione.
Ti potrebbe interessare
16 dic 2022