Các chuyên gia bảo mật tại McAfee vừa phát hiện một chiến dịch mã độc quy mô lớn sử dụng Minecraft làm vectơ tấn công chính, lây nhiễm cho hơn 116,000 thiết bị trên toàn cầu. Chiến dịch này, được đặt tên là WeedHack, phát tán thông qua các bản mod, cheat, trình cài đặt lậu (cracked installers) và các công cụ cộng đồng được chia sẻ trên các máy chủ Discord và diễn đàn game. Người chơi cứ ngỡ mình đang tải về các bản tối ưu hiệu năng hoặc nâng cấp trải nghiệm chơi game, nhưng thực tế thì không phải vậy.
Cách thức 116,000 thiết bị bị xâm nhập
Phương thức phân phối của WeedHack đơn giản đến mức đánh lừa được nhiều người. Các tệp tin độc hại được đóng gói để trông giống như nội dung Minecraft hợp lệ và được chia sẻ trong các cộng đồng game, nơi sự tin tưởng giữa các thành viên thường được mặc định. Các máy chủ Discord chuyên về mod, cheat và công cụ lậu đã trở thành kênh phân phối chính.
Sau khi được cài đặt, mã độc sẽ thu thập thông tin đăng nhập trình duyệt, Discord tokens, dữ liệu ví crypto, ảnh chụp màn hình và các tệp tin cá nhân từ thiết bị bị nhiễm. Sau đó, những kẻ vận hành sử dụng số dữ liệu bị đánh cắp này cho các mục đích vượt xa những cuộc tấn công vì lợi ích tài chính thông thường.
Vấn đề nằm ở chỗ: chiến dịch này không chỉ dừng lại ở việc đánh cắp mật khẩu rồi thôi. Các nhà nghiên cứu cho biết nạn nhân còn phải đối mặt với tình trạng quấy rối có mục tiêu, tống tiền và làm nhục công khai bằng cách sử dụng chính thông tin cá nhân của họ làm đòn bẩy. Sự kết hợp giữa hành vi đánh cắp dữ liệu và bắt nạt qua mạng (cyberbullying) có tổ chức chính là điều khiến WeedHack trở nên khác biệt so với các loại mã độc đánh cắp thông tin đăng nhập thông thường.
Nghiên cứu của McAfee cũng cho thấy toàn bộ chiến dịch này được cho là do một thiếu niên điều hành, điều này cho thấy các công cụ tội phạm mạng hiện đại đã trở nên dễ tiếp cận như thế nào. Việc lây nhiễm hơn 116,000 thiết bị trên toàn cầu không đòi hỏi cơ sở hạ tầng được nhà nước hậu thuẫn hay các nguồn lực tiên tiến.
Tại sao văn hóa modding của Minecraft lại tạo điều kiện cho điều này
Minecraft sở hữu một trong những hệ sinh thái nội dung do người dùng tạo lớn nhất trong ngành game. Hàng triệu người chơi thường xuyên tải xuống các bản mod, gói texture và công cụ từ bên thứ ba ngoài Marketplace chính thức, và sự cởi mở đó là một thế mạnh thực sự của cộng đồng game. Tuy nhiên, đó cũng chính là điều mà WeedHack đã khai thác.
Đặc biệt, những người chơi trẻ tuổi thường có xu hướng cài đặt các tệp tin không chính thức mà ít kiểm tra kỹ lưỡng hơn so với các nguồn khác. Khi một tệp tin được ai đó trong máy chủ Discord đáng tin cậy giới thiệu, bản năng xác minh nguồn gốc thường biến mất hoàn toàn. Những kẻ vận hành WeedHack đã hiểu rõ động thái đó và xây dựng chiến lược phân phối dựa trên nó.
Mã độc này cũng được cho là liên tục tiến hóa để né tránh sự phát hiện của phần mềm diệt virus, với việc những kẻ vận hành liên tục cập nhật payload và thay đổi phương thức phân phối trên nhiều nền tảng để luôn đi trước các công cụ bảo mật.
Sự chuyển dịch lớn hơn trong mã độc nhắm vào game
Điều mà hầu hết người chơi bỏ lỡ về các chiến dịch như WeedHack là chúng báo hiệu một sự thay đổi rộng lớn hơn trong cách tội phạm mạng nhắm mục tiêu vào game thủ. Mục tiêu không còn chỉ là đánh cắp tài chính. Các Discord tokens, ảnh chụp màn hình và tệp tin cá nhân bị đánh cắp ngày càng được vũ khí hóa để thao túng xã hội, quấy rối và lạm dụng danh tính.
Các cộng đồng game hiện nay hoạt động giống như các mạng xã hội, với cùng mức độ rủi ro trước các vụ lừa đảo, lạm dụng có tổ chức và chiếm đoạt tài khoản. Quy mô của WeedHack là một lời nhắc nhở cụ thể rằng bề mặt tấn công đối với người chơi đã mở rộng vượt xa các email lừa đảo (phishing) hoặc các liên kết đáng ngờ trong khung chat.
Đối với những người chơi muốn tiếp tục mod game một cách an toàn, hướng dẫn các bản mod Minecraft tốt nhất của chúng tôi bao gồm 52 lựa chọn đã được kiểm duyệt, đáng để bạn dành thời gian mà không phải lo lắng về bảo mật.
McAfee khuyến nghị người dùng nên bật xác thực đa yếu tố trên tất cả các tài khoản game, tránh sử dụng lại mật khẩu trên nhiều nền tảng và thực hiện quét thiết bị định kỳ. Chìa khóa ở đây là hãy coi bất kỳ tệp tin nào được chia sẻ bên ngoài cửa hàng chính thức là một mối đe dọa tiềm ẩn cho đến khi được chứng minh ngược lại.
Minecraft vẫn là một trong những trò chơi giàu trí tưởng tượng nhất từng được tạo ra, như bạn có thể đọc trong bài đánh giá chuyên sâu của chúng tôi. Chiến dịch WeedHack không làm thay đổi điều đó. Nhưng nó làm rõ rằng mối nguy hiểm lớn nhất đối với người chơi hiện nay không liên quan gì đến creepers hay Nether. Nó nằm ở các liên kết tải xuống đang được truyền tay nhau trong các máy chủ Discord.
