Minecraft MOD・プラグインに埋め込まれたマルウェア【fractureiser】について

この記事では現在話題になっているマイクラのMOD、プラグインを対象としたマルウェア【fractureiser】について
現状判明していることと、検出ツールの使い方について要点を絞って紹介していきます。

参照元

概要

悪意のあるユーザーが複数のアカウントを作成。
マルウェアを含むプロジェクトをCurseForge、dev.bukkit.orgにアップロードしていることが判明。
(既にこの件に関連するすべてのアカウントはBANされているようです。)

更にこれらのマルウェアのいくつかは、Better Minecraftを含む人気のあるmodpacksに埋め込まれてしまいました。

4月18日頃から悪意のあるプラグイン、MODの報告があります。

このマルウェアは複数の「ステージ」で構成されており、各ステージが次のステージのダウンロードと実行を担当します。
合計で3つの既知のステージ(ステージ1、2、3)があり、感染したjarファイルは「ステージ0」として機能し、プロセス全体を開始します。
ステージ3はマルウェアの「首謀者」であり、以下の様な事を実行します。

ステージとは
マルウェアが展開するコードのレベルを表すマルウェアの用語です。
検出を難しくする為に、マルウェアは相互にダウンロードして実行する層を持ち、最終的に実際に重い処理を実行します。

• クリップボードの内容を読み取る
• Microsoft アカウントの認証情報を盗む
• Minecraft MOD のように見えるシステム上のすべてのjarファイルをスキャンし、それらにステージ 0 を混入
• 多くの Web ブラウザの Cookie とログイン情報を盗む
• クリップボード内の暗号通貨アドレスを、攻撃者が所有していると思われる代替アドレスに置き換え
• Discordの認証情報を盗む
• さまざまなランチャーから Microsoft および Minecraft の認証情報を盗む
• 暗号通貨ウォレットを盗む

更に詳しく、各ステージ毎にどのような挙動をするのかを知りたい人はこちらのサイトを参考にしてください

現在可能な対応

このマルウェアのコントロールサーバは現在オフラインですが、過去2～3週間にCurseForge、Bukkit plugin repositoryからダウンロードしたMODについては特に注意してください。

また、このマルウェアはWindows Defender、類似のマルウェア対策製品によって検出される可能性は低いです。

その為、今後は通知があるまでは、全てのMOD、プラグインこのマルウェアに感染している可能性があると考え、
しばらくはMOD等のダウンロードは控えてください。
どうしても新しくMODやプラグインをダウンロード・導入したいという場合でも、起動前に必ず下記のツールでチェックしてください。

現時点で判明しているfractioniserの仕様から、既にウイルスは公開されている MOD (パック) から完全に駆除されたと考えられています。

また、既に各プラットフォーム側で対策されたので、今回の騒動は終息しました。

CurseForge と Modrinth の両方で MOD のアップロードがオンラインに戻されたため、模倣マルウェア作成者が新しいウイルスを作成する可能性があります。

感染の確認方法

今使っているPCが感染していないか確認するためには現在CurseForgeから配信されている2つのソフトを実行する必要があります。

上記のサイトへアクセスし、2つのソフトをダウンロードしてください。

• DetectionTool
• JarInfectionScanner

 from here 、linked hereをクリックするとダウンロードが開始されます。

DetectionTool

まずは DetectionTool を実行し、PCが既にマルウェアに感染しているかどうかを確認します。

感染していなかった場合

DetectionTool-*.*.*.exe (*部分にはバージョンを表す数字)を実行し、下記の様な表示が出た場合は感染していません。

感染している疑いが場合

感染している疑いがある場合はこのような表示がでます。

JarInfectionScanner

次に JarInfectionScanner を実行し、休眠状態や他の感染したMOD・Jarファイルがあるかどうかを確認します。
このツールに寄って、ステージ0の脆弱性をスキャンし、感染したJarファイルを検出することができます。

DetectionTool で何も検出されなかった場合でも、このツールを必ず実行してください

ダウンロードした JarInfectionScanner.zip を解凍し、JarInfectionScanner.exe を起動してください。

Browse をクリックし、 jarファイルを含むフォルダを選択してください。
Scanをクリックすると選択したフォルダとそのサブフォルダすべてチェックします。

感染していなかった場合

感染していなかった場合は、右の欄に何も表示されません。

感染している疑いがある場合

感染している疑いがあるファイルが見つかった場合は右の欄にこの様に表示されます。

感染していた場合の対処方法

上記の検出ツールを実行し、感染している疑いがある判断された場合、
先ずはDetectionToolで検出されたファイルが意図的に配置したものでないかを確認してください。

検出されたファイルが意図的に配置したものでなかった場合、各ファイルの保存先に移動し、削除してください。
念の為、ファイルを削除後にツールを再実行し、他に何も見つからないことを確認してください。

JarInfectionScanner で検出されたJarファイルについては、必ず削除してください。

ファイルが「Open JDK Binary」で開かれているために削除できない場合は
https://learn.microsoft.com/en-us/sysinternals/downloads/autorunsを使用して、「libWebGL64.jar」の起動ルールを削除してください。

現時点では、これによって何ができるのか、またその意図が何なのかは完全にわかっていないため、症状を取り除く完全な方法が見つかるまでは細心の注意を払う必要があります。
ここに記載されている内容はすべて、既に判明している事だけです。
重要な情報、更新を見逃さないようにこまめに下記のページを確認してください。

システム上でフラクチャライザーのステージ 2 ファイルが見つかった場合は
ステージ 3 のコードが実行され、マシンに感染している可能性が非常に高くなります。
現時点での最善の選択肢は、そのシステム上のすべてが完全に侵害されていると想定することです。

• 失いたくないものはすべてフラッシュ ドライブまたは外部ディスクにバックアップ(とにかく定期的に行う様にしてください)
• 別のPCを使用して、感染の疑いがあるPCでログインしていたすべてのサービス (Discord、電子メールなど) のパスワードを変更。
  BitWardenのようなパスワード マネージャーを使用することをお勧めします 。
• 二要素認証 (認証アプリまたは SMS) をサポートするすべてのサービスで、まだ設定していない場合は、すぐに設定を開始してください。
• 可能であれば、お近くの専門サービスに連絡して、PCに不審な点がないか適切な診断を実行してください。
  あるいは、PCを初期化してOSを再インストールしてください。
• 感染していない場合の対処法については、以下のセクションをお読みください。
  そこにある手順はあなたにも当てはまります。

感染していなかった場合

ステージ 2 の検出器で何も検出されなかった場合は、何も起こっていない可能性があり、問題なくプレイできます。

現在は駆除されていますが fractureiser、新しいプロトコルが確立されるまで、近い将来に新しいウイルスが出現する可能性があります。
ゲームをプレイする際には以下点に注意してください。

• すでにダウンロードして安全であることが確認された Mod と Modpack のみをプレイしてください。
• 前述の点と同じ理由で、6 月 8 日以降に新規または不明の作成者からアップロードされたものをダウンロードすることは避けてください。
• MOD(パック)の更新は避けてください。
• 今後、このような問題を検出するための新しい方法に関する開発に関するチームからの情報に注目してください。

現在感染が確認されているMOD・プラグイン

Luna Pixel Studios によると、主に 1.16.5、1.18.2、1.19.2 にある数十の Mod と Modpack が更新され、マルウェアが混入されているようです。

現在(2023/06/11 18時頃までに)確認されたMOD、modpacksおよびプラグインは以下の通りです。

感染が確認されたが、現在対応が完了している物

MOD

• Buried Barrels
• Sky Villages [Forge/Fabric]
• Simply Houses
• When Dungeons Arise -Forge/Fabric
• Skyblock Core

modpack

1. Prominence [FORGE]
2. Medieval MC [FORGE] – MMC3
3. Better MC [FORGE] – BMC3

感染が確認されて永久に停止されたプロジェクト:

MOD

1. Golem Awakening
2. Phanerozoic Worlds
3. Autobroadcast
4. Museum Curator Advanced
5. Vault Integrations (Bug Fix)
6. dungeonx * Note – Not DungeonZ
7. More and Ore advanced
8. Anti ChatReport
9. Additional Weapons+
10. Create: Diesel and Oil Generators
11. Ultra Swords Mod
12. Simple Frames
13. XPClumps
14. Target Dummy
15. Sleeping Bags 

modpack

1. UVision ENHANCED(サーバーパックのみ)
2. UVision Server(サーバーパックのみ)
3. UVision LITE (サーバーパックのみ)

プラグイン

1. AmazingTitles
2. HavenElytra
3. DisplayEntityEditor
4. The Nexus Event Custom Event
5. SimpleHarvesting
6. McBounties
7. Easy Custom Foods
8. AntiCommandSpam Bungeecord Support
9. UltimateLevels
10. AntiRedstoneCrash
11. hydrationPlugin
12. NoVPN
13. Fragment Permission Plugin
14. Skelegram – The Skript Telegram Addon!
15. AntiCrashXXL
16. Holographic Plots
17. Beacon Waypoints
18. Treecapitator
19. AutoPickup Plus
20. PaperCurrency
21. The Auction House
22. AlwaysChicken
23. Tpa Deluxe Simple Teleportation
24. Floating Damage
25. MinecraftGPT
26. DoubleJump Plus
27. SculkInvasion
28. SimpleHealing
29. Vanilla Challenges
30. TPS Bar
31. SemiHardcore
32. TNT Tag Minigame
33. Command Timers
34. InstaSmelt
35. Neo Performance
36. Chat Games
37. ServManager

よくある質問

こちらのサイトにて、よくある質問に対しての回答が掲載されています。

以下はそれの和訳です。

CurseForgeはハッキングされていますか？

CurseForge自体はハッキングされていません。
これはCurseForgeの問題ではなく、たまたまCurseForgeがこのような事態になっただけです。
CurseForgeは、自分たちの状況を説明する記事を掲載し、対策の展開に取り組んでいます。

CurseForge Support

CurseForge Support We’re here to get you informed on everything you need to know about CurseForge, including helpful guides and troubleshooting articles to back you up when you ge…

また、現在では問題のあるファイルは全て削除されました。

Following the ongoing situation we would like to provide you with clarity, answers and information about the current status of things as well as the next steps we are taking to ensure the safety of our community.

TL;DR – We have cleaned all infected files on the platform and…

— CurseForge (@CurseForge) June 8, 2023

Modrinthは大丈夫ですか？

Modrinthは過去10ヶ月のアップロードをフルスキャンしましたが、感染したプロジェクトは発見されませんでした。

現時点では、MODに関連するものをダウンロードする際には、細心の注意を払うことをお勧めします。

感染したMODがなかったのは、ただ単に運が良かっただけです。

Modrinthはより安全ですか？

これはウェブサイトレベルの問題ではありません。

Modrinth は CurseForge と同程度に安全です。

なぜCurseForgeはこのマルウェアを検知できなかったのですか？

ステージ0の感染が実行されたコードは、自動化されたシステムにとって必ずしも疑わしいものではなく、別のモジュールが使用したものである可能性も大いにありました。
実際、ステージ0の感染を決定するための初期のヒューリスティックには、Quarkのような一般的なモジュールにかなりの量の誤ったフラグがありました。

現実的には、コードをレイアウトして意図を隠す方法が無限にあるため、プラットフォーム規模でのこの種の防止は実現不可能です。

どのアンチウイルスソフトがこれを検出できますか？

新しいものがどんどん追加されている為、今のところAVに頼るのではなく、上記のような手動での検証を行うのがベストです。

マルチプレイは安全ですか？

はい、他の場所でMODをダウンロードしなければ、マルチプレイヤーサーバー経由で感染することはありません。

統合版(BE版)は安全ですか？

はい、これはJavaにのみ影響します。

LunarやBadlionなどの代替ゲームクライアントは安全ですか?

以下の質問の回答を参照してください。

Optifineは安全ですか?/Sodiumは安全ですか?/Irisは安全ですか?/Createは安全ですか?/Essentialは安全ですか?/…は安全ですか?

現在のところ、特定のモジュールの安全性を完全に確認することはできません。

ウイルスのステージ3の機能の1つは、コンピュータ上で検出できるだけ多くの.jarファイルに感染することです。
Minecraft自体(vanilla/modded)、Minecraft mod、Spigotプラグイン、および関連のないJavaアプリケーションを含むすべてのjarファイルに感染できます。
したがって、コンピュータにウイルスのステージ3の部分がある場合、ダウンロードしたMODが「安全」かどうかは問題ではなく、
感染させてしまいます。
まずはfractureiserの後期ステージを検出し、削除してください。

現在、既知の感染したMODはすべてCurseForgeから撤去されています。
CurseForgeは既知の感染したMODのリストを投稿し、ウェブサイトから削除しました。

Modrinthは過去10ヶ月間の全ての投稿をにスキャンしましたが、感染したMODは見つかりませんでした。

しかし、これはマルウェアが紛れ込んでいないことを保証するものではありません。
あるjarがfractureiserのstage0を含んでいるかどうかを確認するには、感染の確認方法をチェックし、
全体として、今のところMOD関連のものをダウンロードすることに細心の注意を払う必要があります。

感染はどの程度広がっているのでしょうか？

感染はどの程度広がっているのでしょうか？
CurseForgeによると、感染したファイルは、感染期間中、およそ6,000回ダウンロードされたとのことです。

CFのDiscordでの発表から引用：これは、CurseForgeのMinecraftの1日のダウンロード数の約0.015%にあたります。

誰かが1.20のリリースイベントを台無しにしようとしたのでしょうか？

このマルウェアは、1.20のリリース当日の朝に広く発見されるまで、かなり長い間活動していたのですが、偶然の一致だったようです。