En mars 2025, Check Point Research a révélé une campagne de malware qui cible spécifiquement les joueurs actifs de Minecraft. Des mods malveillants, déguisés en outils populaires, ont été utilisés pour infecter discrètement les appareils des joueurs. Cette méthode met en danger leurs données sensibles.
Dans une campagne de malware récemment découverte par Check Point Research (CPR), des malwares ont été intégrés dans de faux mods Minecraft, téléchargés principalement via GitHub. Cette attaque commence par l’infection des appareils via un programme Java. Une fois installé, le malware devient capable de voler des informations sensibles. L’origine de cette menace semble provenir d’un acteur russophone qui vise spécifiquement la communauté de joueurs actifs de Minecraft.
Des mods Minecraft malveillants : une menace insidieuse
Minecraft, avec ses 200 millions de joueurs mensuels actifs, est devenu une plateforme de choix pour les cybercriminels. Les mods permettent aux utilisateurs de personnaliser et d’améliorer leur expérience de jeu. Ils sont souvent associés à une communauté dynamique, mais aussi à des risques. Des chercheurs de Check Point Research (CPR) ont découvert qu’une campagne de malware se propageait sur GitHub. Des fichiers y circulaient. Ils se faisaient passer pour des mods populaires comme Oringo et Taunahi.
Ceux-ci contiennent en réalité un malware dissimulé sous forme de programme Java. Ce malware vise à infecter les machines des joueurs, en particulier ceux qui n’ont pas de protections robustes contre les menaces. Les fichiers malveillants imitent des outils légitimes de triche et d’automatisation. Ces derniers sont souvent utilisés par les joueurs qui souhaitent optimiser leur expérience. Cette astuce permet au malware de se fondre dans le lot de mods disponibles sur des sites tiers. Cela rend sa détection extrêmement difficile.
Une infection en plusieurs étapes
Le fonctionnement du malware repose sur une chaîne d’infection en trois phases. Celle-ci entraîne une escalade progressive des attaques. Tout commence par le téléchargement du mod malveillant. Une fois installé, il vérifie si le jeu s’exécute dans un environnement d’analyse. Il peut ainsi échapper à la détection par les systèmes de sécurité classiques. Si l’environnement est jugé sûr, le programme passe à la deuxième phase. Là, c’est le téléchargement d’un « stealer« , un malware qui vise à voler des informations sensibles telles que les mots de passe et les portefeuilles de cryptomonnaie. Cette phase est suivie par un dernier composant qui collecte des données plus approfondies. Il récupère notamment les identifiants des navigateurs web ainsi que ceux d’applications populaires comme Discord, Steam et Telegram.
La méthode d’exfiltration des données est également sophistiquée. Les informations volées sont envoyées via Discord. Ce procédé dissimule le trafic malveillant parmi des communications légitimes. Cette démarche permet aux attaquants d’éviter d’être détectés. Elle rend l’opération encore plus difficile à stopper. Selon CPR, plus de 1 500 appareils auraient déjà été compromis.
Une menace d’origine russophone ?
Bien que peu d’informations soient disponibles sur l’identité des attaquants, certains éléments permettent de spéculer sur leur origine. Des commentaires en russe retrouvés dans le code et un comportement aligné avec le fuseau horaire UTC+3 suggèrent qu’un groupe russophone pourrait être à l’origine de cette campagne. Ce type d’attaque cible spécifiquement les joueurs de Minecraft, mais il n’est pas isolé. Il pourrait inspirer d’autres cybercriminels à exploiter cette méthode pour lancer des attaques similaires sur d’autres communautés en ligne.
Cette campagne démontre que même les plateformes populaires comme Minecraft peuvent devenir des cibles privilégiées pour les cybercriminels. Les joueurs doivent être particulièrement prudents lorsqu’ils téléchargent des mods et des outils tiers. C’est de mise même s’ils proviennent de sources apparemment fiables. La meilleure défense contre ce type de malware reste la vigilance. Il faut privilégier les plateformes vérifiées et maintenir à jour les protections antivirus.
Article basé sur un communiqué de presse reçu par la rédaction.
