Actualizaciones falsas de Minecraft dejan miles de PCs infectadas

Los investigadores de Microsoft han descubierto una red de bots de Windows-Linux que derriba los servidores de Minecraft en ataques DDoS «muy efectivos».

Según lo informado por ArsTechnica (se abre en una nueva pestaña), la red de bots MCCrash envía un comando que completa el cuadro de diálogo de entrada de nombre de usuario en la página de inicio de sesión de un servidor de Minecraft que bloquea el servidor y agota sus recursos.

«El uso de la variable env desencadena el uso de la biblioteca Log4j 2, lo que conduce a un consumo anormal de recursos del sistema (no relacionado con [the] vulnerabilidad Log4Shell), que demuestra un método DDoS específico y altamente efectivo”, escribieron los investigadores de Microsoft.

El alcance masivo de la botnet MCCrash

Microsoft también señaló que MCCrash tiene la capacidad de bloquear servidores que ejecutan una amplia variedad de versiones del software del servidor del juego.

Aquí es donde se pone un poco complicado: MCCrash en sí solo está codificado para apuntar a 1.12.2, pero la técnica de ataque es suficiente para derribar los servidores que ejecutan 1.7.2 a 1.18 .2, que ArsTechnica estima que es aproximadamente la mitad de todos los servicios de Minecraft en ejecución. Este Dia.

El parche del software del servidor a la versión 1.9 hace que la técnica de la botnet sea ineficaz, pero incluso sin esto, Microsoft agradece que el impacto de la botnet sea limitado.

«La amplia gama de servidores de Minecraft en riesgo destaca el impacto que podría haber tenido este malware si se hubiera codificado específicamente para afectar a versiones posteriores a la 1.12.2», escribieron los investigadores de Microsoft.

«La capacidad única de esta amenaza para usar dispositivos de Internet de las cosas (IoT) que a menudo no se supervisan como parte de la red de bots aumenta en gran medida su impacto y reduce sus posibilidades de detección».

Los puntos iniciales de infección más comunes para MCCcrash son las máquinas Windows que tienen instalado un software que pretende activar el sistema operativo con licencias ilícitas, pero que contiene principalmente el malware que, posteriormente, instala un script de python que proporciona lógica de botnet.

Luego, los dispositivos Windows infectados escanean Internet en busca de dispositivos que ejecuten distribuciones de Linux, como Debian, Ubuntu y CentOS, y usan las credenciales de inicio de sesión predeterminadas para ejecutar el mismo script .py en estos nuevos dispositivos, que luego se usan para lanzar ataques DDoS en Minecraft. . servidores y otros dispositivos.

Microsoft no ha revelado la cantidad de dispositivos infectados con MCCrash, pero ArsTechnica dice que un desglose geográfico revela que muchos están ubicados en Rusia, haciéndose eco de los sentimientos del Informe de Defensa Digital 2022 de Microsoft, que dice que el conflicto ruso-ucraniano es, en parte, debido a ciberdelincuencia

Share This