骇客锁定游戏玩家的情况不时有事故传出，最近有一起专门针对知名游戏Minecraft玩家的攻击行动，引起研究人员高度关注。

资安业者Check Point揭露专门锁定Minecraft玩家的多阶段攻击行动，骇客使用名为Stargazers Ghost Network恶意软件分派服务（Distribution as a Service，DaaS），假借Oringo和Taunahi等Minecraft修改模组（Mod）散布恶意软件，从而窃取电脑机敏资料。

特别的是，骇客的第一阶段恶意程序下载工具与第二阶段的窃资软件存在共通点，它们都是以Java打造而成，而且必须倚赖受害电脑的Minecraft游戏主程序才能运作。第三与最终阶段的恶意程序皆为.NET窃资软件，原因是骇客开发了额外的功能。

研究人员从今年3月开始发现专门锁定Minecraft玩家的恶意GitHub储存库，这些储存库存放Java下载工具，而且防毒引擎都不会将这些工具视为有害。而这些储存库都号称提供Minecraft修改工具，并拥有许多用户给星星而看起来像是合法。

这些储存库都存放了恶意JAR文件，骇客将其命名称作弊或是自动化工具。研究人员将这些JAR文件上传恶意软件分析平台VirusTotal，结果没有防毒引擎察觉有异。

针对恶意软件的感染流程，在使用者依照指示下载并安装JAR文件之后，一旦他们开始执行Minecraft，此作弊模组就会下载第二阶段的窃资软件，而后该恶意程序又会下载另一个.NET窃资软件，但为何骇客要先后使用两个不同的窃资软件，研究人员并未说明。

附带一提，骇客为了防範研究人员分析，这些修改模组执行的过程里，会先侦测受害电脑的环境当中，是否存在VMware、VirtualBox、KVM、QEMU等虚拟机器相关元件，以及Wireshark、TCPView等网路分析工具，若是发现有这些软件，修改模组就会终止运作。

对于攻击者的身分，研究人员表示他们掌握的资讯并不多，但骇客不仅在部分文件使用俄文，所有文件的提交都来自UTC+3时区，因此研究人员研判攻击者可能来自俄罗斯。