CurseForgeやCraftBukkitで配布されているMODの中の、一部のMODの中身が書き換えられ、fractureiserというマルウェアが混入されているそうです。
マルウェアが入っているMODを起動してしまうと。マイクロソフトやマインクラフト、ディスコードなどの認証情報やブラウザに保存されている他の認証情報など、さまざまな情報が抜かれてしまいます。
このマルウェアは自己増殖を行う性質を持っているため、感染するとPC内にある他のMODやJarファイルも『Fractureiser』に感染する恐れがあります。
ただし、このマルウェアは特にマインクラフトのjarファイルをターゲットにしていて、それ以外は何もターゲットにしません。
また windows と Linux にのみ感染し、Mac には感染しないとされています。
マルウェアの被害が分かったのは今のところCurseForgeとBukkitだけですが、MOD開発者が感染に気付かずにアップロードしてしまう可能性も否定できないため、どのサイトであっても暫くは Java 版 Minecraft のModのダウンロードを控えたほうがよさそうです。
マルウェアが入っているMODを起動してしまうと。マイクロソフトやマインクラフト、ディスコードなどの認証情報やブラウザに保存されている他の認証情報など、さまざまな情報が抜かれてしまいます。
このマルウェアは自己増殖を行う性質を持っているため、感染するとPC内にある他のMODやJarファイルも『Fractureiser』に感染する恐れがあります。
ただし、このマルウェアは特にマインクラフトのjarファイルをターゲットにしていて、それ以外は何もターゲットにしません。
また windows と Linux にのみ感染し、Mac には感染しないとされています。
マルウェアの被害が分かったのは今のところCurseForgeとBukkitだけですが、MOD開発者が感染に気付かずにアップロードしてしまう可能性も否定できないため、どのサイトであっても暫くは Java 版 Minecraft のModのダウンロードを控えたほうがよさそうです。
感染していないかの確認方法
手動で確認する方法は少々手間なので、チェックツールを使用するのが手軽です。
CorseFogeの公式ツイッターで検出ツールができたとの呟きを見つけたのでこちらを紹介します。
CorseFogeの公式ツイッターで検出ツールができたとの呟きを見つけたのでこちらを紹介します。
Our team has made a Detector Tool that will help you detect the relevant malware. This tool relied on the amazing work of the author community who has investigated these malicious files. Read more and get the tool here: https://t.co/NKHQIq7JtV
— CurseForge (@CurseForge) June 7, 2023
CorseFogeのサポートページから検出ツールをダウンロードする
「June 2023 - Infected mods detection tool」のページに飛んで「 from here 」の文字から「 DetectionTool-0.0.1.exe 」ファイルをダウンロードし、適当な場所に保存します。
保存したDetectionTool-0.0.1.exeを実行するとスキャン画面が表示されます。「Scan」のボタンを押すと、ウィルスチェックが行われます。
緑字で「NO」と表示されていれば感染はしていません。
感染している場合は赤字で「YES」と表示され、その下に感染ファイルの場所が表示されます。
検出ツールでチェックしたところ、私は感染していなかったので安心しました。ですが、感染していた場合の対処も一応調べたので書いておきます。
感染している場合は赤字で「YES」と表示され、その下に感染ファイルの場所が表示されます。
検出ツールでチェックしたところ、私は感染していなかったので安心しました。ですが、感染していた場合の対処も一応調べたので書いておきます。
隠しファイルの表示とフォルダの削除
まず、エクスプローラーの設定を変更する必要があります。
以下はWindows11での操作になります。
エクスプローラーのバーにある表示をクリックして、一番下の表示から「隠しファイル」にチェックを入れます。
隠しファイルが見えるようになったら、先ほど表示されたファイルを探します。
C:\Users\ユーザー名\AppData\Local\Microsoft Edge\libWebGL64.jar などが検出ツールで表示されていたと思いますが「Microsoft Edge」フォルダを丸ごと消します。
「Microsoft Edge」フォルダはEdgeのフォルダではありません。本物の Edge フォルダー名にはスペースがないそうです。
以下はWindows11での操作になります。
エクスプローラーのバーにある表示をクリックして、一番下の表示から「隠しファイル」にチェックを入れます。
隠しファイルが見えるようになったら、先ほど表示されたファイルを探します。
C:\Users\ユーザー名\AppData\Local\Microsoft Edge\libWebGL64.jar などが検出ツールで表示されていたと思いますが「Microsoft Edge」フォルダを丸ごと消します。
「Microsoft Edge」フォルダはEdgeのフォルダではありません。本物の Edge フォルダー名にはスペースがないそうです。
他のMODが感染していないかの確認
このマルウェアは自己増殖を行う性質を持っているため、他の MOD が感染していないかどうかを確認します。
このツールは、PCにインストールされている Minecraft mod Jar を含むすべてのフォルダーをスキャンします。
Detect if you have any dormant / other infected mods/Jar filesの項目にある「 linked here. 」から今度はzipファイルをダウンロードして、解凍します。
解凍したファイルの中にある「JarInfectionScanner.exe」を実行します。
Browse(参照)をクリックしてマイクラのMODを入れているフォルダを選択し、Scanボタンをクリックすると、選択したフォルダより下にあるマインクラフトのファイルをスキャンしてくれます。
このツールは、PCにインストールされている Minecraft mod Jar を含むすべてのフォルダーをスキャンします。
Detect if you have any dormant / other infected mods/Jar filesの項目にある「 linked here. 」から今度はzipファイルをダウンロードして、解凍します。
解凍したファイルの中にある「JarInfectionScanner.exe」を実行します。
パスワードの変更
感染が見つかった場合は、上で紹介した手順に加えて、ウィルススキャンを実行し、重要なパスワードは変更しておきましょう。
取り急ぎ書きました。
MODからPCに感染するウィルスなので、普段からバニラで遊んでいる人にはあまり関係のない話ですが、直近でMODをダウンロードした方だけでなく、このウィルスは4月中旬から確認されているとのことなので、それ以降にMODをダウンロードして遊んでいる方は一度チェックしてみることをお勧めします。
感染していないことを確認の上、しばらくはバニラで遊ぶのが無難そうです。
参照
June 2023 - Infected mods detection tool
"fractureiser" malware in many popular Minecraft mods and modpacks
fractureiser-investigation/fractureiser
Modded Players Guide
June 2023 - Infected mods detection tool
"fractureiser" malware in many popular Minecraft mods and modpacks
fractureiser-investigation/fractureiser
Modded Players Guide
現在ではCurseForgeやBukkit、modrinthなどMODを配布しているサイト側でのファイルチェックが終了し、このマルウェア(Fractureiser)は収束したようです。
現在では新規に感染する可能性もほぼなくなったといえるのではないでしょうか。
MODをダウンロードした時には一応チェッカーツールでの確認をするとより安全に遊べます。
