Este ataque explora a enorme popularidade do Minecraft — o jogo mais vendido da história, com mais de 350 milhões de cópias vendidas e cerca de 204 milhões de jogadores ativos mensalmente. Com uma base de utilizadores em que 65% têm menos de 21 anos, a comunidade revela-se particularmente vulnerável a este tipo de engenharia social.

Segundo a investigação, os atacantes criaram aproximadamente 500 repositórios falsos no GitHub, com nomes de mods populares como Oringo ou Taunahi — conhecidos por fornecer cheats — para atrair as vítimas. As amostras do malware foram desenhadas para só ativar em máquinas que tenham o Minecraft instalado, demonstrando a intencionalidade específica deste ataque.

A operação decorre em várias fases: após a instalação inicial do ficheiro JAR, o malware verifica se está num ambiente virtual de análise; se não detetar sandboxing, instala um infostealer em Java para recolher dados; por fim, executa um stealer em .NET ("44 CALIBER") que extrai informações de navegadores, aplicações como Discord, Steam e Telegram, bem como carteiras de criptomoedas. Os dados roubados são enviados através do Discord, disfarçando o tráfego malicioso entre o uso legítimo da aplicação. Até agora, estima-se que cerca de 1.500 dispositivos foram comprometidos a nível mundial.

A Check Point recomenda que os jogadores evitem instalar mods de fontes não verificadas, desconfiem de ferramentas que prometem cheats ou automatismos fáceis, mantenham os sistemas e antivírus sempre atualizados e recordem a regra básica de segurança: se algo parece bom demais para ser verdade, provavelmente é.

As soluções Threat Emulation e Harmony Endpoint da Check Point garantem proteção total contra esta ameaça específica.