Злоумышленники атакуют фанатов Minecraft: обнаружена масштабная кампания Weedhack с бесплатным шпионским ПО

information security

Популярность Minecraft, собравшей более 350 миллионов копий по всему миру, давно привлекает не только игроков, но и злоумышленников. Специалисты McAfee Labs выявили крупную наступательную операцию под названием Weedhack, которая маскируется под моды и клиенты для этой игры. Кампания активна с января 2026 года и уже заразила более ста тысяч устройств, а её главная особенность - необычно низкий порог входа для злоумышленников: часть вредоносного функционала распространяется бесплатно, а премиум-доступ стоит от пяти долларов в месяц.

Описание

Исследователи обнаружили более 3820 уникальных вредоносных JAR-файлов и 240 ссылок, участвующих в распространении. Методы заражения включают отравление поисковой выдачи (SEO-атаки) и размещение видеороликов на YouTube, в описании или комментариях к которым размещены ссылки на подставные сайты. Эти сайты выглядят как официальные страницы популярных модов или клиентов для Minecraft, но на самом деле доставляют в систему пользователя шпионское ПО.

Кампания Weedhack представляет собой вредоносное ПО как услугу (MaaS - модель, в которой злоумышленники продают доступ к инструментам для атак). Её панель управления (дашборд) размещена в открытом интернете, что делает сервис доступным любому обладателю учётной записи Discord и интернет-соединения. На дашборде собраны подробные руководства по использованию вредоноса: от настройки уведомлений до методов распространения через YouTube и поисковики. Кроме того, ведётся таблица лидеров по количеству заражений, обновляемая каждые десять минут. На момент публикации общее число зарегистрированных попаданий превысило 116 тысяч, в среднем - около двух-трёх тысяч в день.

Особого внимания заслуживает механизм связи с командным сервером (C2). Для получения актуального домена злоумышленники используют технику EtherHiding - обращаются к смарт-контракту в блокчейне Ethereum. Об этом рассказывается в отчёте McAfee Labs с подробным техническим анализом всех этапов заражения. Ответы от блокчейна проверяются с помощью RSA-подписи, что защищает сеть от перехвата. После верификации вредонос загружает следующую стадию полезной нагрузки (последующие модули) и выполняет её в памяти.

Бесплатный тариф Weedhack включает мощный инструмент для кражи данных. Он способен перехватывать идентификаторы сессий Minecraft (что позволяет угнать игровой аккаунт), а также пароли и куки из 36 браузеров, данные 56 браузерных криптокошельков и 12 настольных, учётные записи Discord, Steam, Telegram. Кроме того, модуль ищет файлы по 24 ключевым словам, собирает системную информацию и делает снимки экрана.

За 5 долларов в месяц подписчикам открывается доступ к удалённому управлению: веб-камера, кейлоггер (запись нажатий клавиш), обратная оболочка (reverse shell, дающая полный контроль над системой), а также возможность делиться экраном с управлением мышью и клавиатурой. Платежи принимаются в биткоинах и лайткоинах, причём для каждой новой оплаты генерируется отдельный кошелёк, что затрудняет отслеживание.

Исследователи выявили 10 доменов, на которых размещена панель управления и промежуточные полезные нагрузки, а также 11 доменов, связанных с более ранними аналогичными кампаниями того же злоумышленника. Удалось обнаружить и Telegram-канал сервиса, где на момент анализа состояло более 850 участников. Именно мониторинг этого канала позволил сделать тревожное наблюдение: большинство клиентов - подростки и молодые люди, которые используют инструмент для кибербуллинга. Они записывают жертв через веб-камеру, угрожают им и делятся видео в канале как трофеями.

Техническая цепочка заражения многоступенчата. После скачивания JAR-файла вредонос перезапускается через javaw.exe без видимого окна консоли. Затем извлекает идентификатор клиента из fabric.api.json, расшифровывает список серверов Ethereum JSON-RPC и адрес смарт-контракта. Получив от блокчейна адрес C2-сервера и проверив подпись, злоумышленник загружает вторую стадию. Та защищена коммерческим обфускатором JNIC, который транслирует Java-байткод в нативный C-код, существенно затрудняя анализ. Вторая стадия повышает привилегии через уязвимость UAC, используя CMSTP, добавляет исключения в Windows Defender, собирает информацию об операционной системе и оборудовании, крадёт токены и пароли, а затем передаёт базу данных на сервер. Третья стадия закрепляется в системе через реестр и задачу планировщика. Четвёртая стадия развёртывает бэкдор для удалённого доступа, создаёт правила брандмауэра, разрешающие трафик, и запускает механизм постоянного самовосстановления - задачу, проверяющую наличие исполняемого файла каждые две минуты.

Географически кампания наиболее активна в США, Германии, Индии, Великобритании, Италии, Вьетнаме, Канаде, Норвегии, Швеции, Финляндии и Испании.

Главная опасность Weedhack в том, что она предлагает продвинутые инструменты кибератак по минимальной цене или даже бесплатно. Для сравнения: аренда распространённых стилеров вроде Lumma обходится в 250-500 долларов в месяц, а X-Worm - 300-500 долларов за пожизненный доступ. Weedhack же снижает барьер доступа до нуля для базового функционала и до смешных сумм для премиум-функций. Кроме того, подробные руководства на русском и английском языках позволяют новичкам быстро освоить атакующие техники.

Итогом становится не только кража игровых аккаунтов и личных данных, но и реальное психологическое давление на молодых людей. Отчёты исследователей показывают, что подростки используют удалённый доступ для слежки и угроз сверстникам. Telegram-канал сервиса операторов уже заблокирован, но авторы угрозы продолжают искать новые площадки. Пользователям Minecraft стоит проявлять крайнюю осторожность при скачивании модов и клиентов из непроверенных источников - особенно если сайты призывают отключить антивирус или утверждают, что программное обеспечение не вредоносно.

Индикаторы компрометации

URLs

  • http://1312services.ru/
  • http://92.119.164.235/
  • http://chromium-Client.github.io/main/ChromiumClient-.jar
  • http://dieserbenni.ru/
  • http://friendlydomain.ru/
  • http://limbo100x.ru/
  • http://pentagon.cy/
  • http://stealer.cy/
  • http://stealer.to/
  • http://weedhack.xyz
  • http://whack.cy/
  • http://whrc.ru/
  • https://1312stealer.ru/
  • https://acabstealer.ru/
  • https://aetherminecraft.lovable.app/game-mods
  • https://cdn.discordapp.com/atTachments/147052242540509585/1470522505604239646/Xenon_Crack_by_Cipher_Service.jar?ex=698c430e&is=698af18e&hm=49f840ac3b7b32aa57865dd285412264b07b6ec0cdafdd731d3e54a7923dd0fb&
  • https://cdn.discordapp.com/atTachments/1470560423743983678/1470890304788889620/NEW_5050BJPAPER_1.jar?ex=698cf0d8&is=698b9f58&hm=4b852782cbef5bdc216964f4254c94c9288fcb650f5363bb6dcb436a3335d025&
  • https://cdn.discordapp.com/atTachments/1471155297258049578/1471159638572666940/SPOILER_Casino_Rigger.jar?ex=698debae&is=698c9a2e&hm=71bc572ecaf1a384fb13de478b64799cc9aa2fdc649ff3339d67f7d8ce3f5313&
  • https://cdn.discordapp.com/atTachments/1471566328522473643/1472074919356530688/NEW_5050BJPAPER_1_1.jar?ex=6991e8da&is=6990975a&hm=d0e9b86426403d3b186f1314705e0e7f34670881be8bc87d731bb072ccfb55b4&
  • https://cdn.discordapp.com/atTachments/1480069398847819806/1484225086423699607/ThunderHack_NextGen-0.3.jar?ex=69ed9294&is=69ec4114&hm=cc730a4d8bf87f790362f6a4Cd95190f1289ebc43a5fac9cb2d41d0b435625fb&
  • https://donutdupe.xyz/DonutDupe-1.21.1.jar
  • https://download2281.mediafire.com/jauvm3juydxggiNLRPkzg-hBEQ9fc9IzMzMCAY_BRiGVMg_VrsDLTQVIJfsq8QfJn7hqLZFDgYigs27kOYaViC05jdawf-9rxEKKpi_lg-7FzEG1xfEph2q17W0C7reY0P-zGfI-HSAknLDhz4WJblw2GCHrXyaO2eDXMI_S2QSh-Ik/1iskin1nr2av9jx/JennyMod_Fabric_1.21-1.0.0+%281%29.jar
  • https://download2282.mediafire.com/ulew3ffsg8igzrwikDrX1CBNddz9Q-Q_njGGhftuIFu1GN5SiqIKOScEjVWNvkoXe9_qFO1VJ-UgvABYdfLpSWHiAtkMYs2sQ1MOuvg4taPYHfRrfMlNr2p0OauPRi-SRi-FCBOou37THLnL5ZGDG6ylmTq_kphdyf2bdUdTGxs/kzltscks354a1at/KryptonClient%2B1.21.11.jar
  • https://farmhelper-Macro.com/downloads/FarmHelper-1.21.jar
  • https://gitlab.com/shlostval52/meteorclient-1.21.11/-/raw/main/AutoHarpTSM-1.21.11.jar?inline=false
  • https://kryptonclient.gg/downloads/KryptonClient.jar
  • https://limewire.com/decrypt/Download?downloadId=96751c7f-be08-4261-b9ee-78541782f59b
  • https://marsalek.cy/
  • https://newlumm.fun/
  • https://night-client-Hub.lovable.app/downloads/dupeclient1.21.11-1.21.11.jar
  • https://nova-client.com/Nova-Client-1.21.11-latest.jar
  • https://odinclient.com/Odin-1.21.10-latest.jar
  • https://pixeldrain.com/api/file/o4jKp4Tx?download
  • https://simplevoicechatmod.com/downloads/voicechat-fabric-1.21.11-2.6.11.jar
  • https://skyhanni.net/downloads/1-21-5/SkyHanni-6.0.0-mc1.21.5.jar
  • https://static.planetminecraft.com/files/resource_media/mod/mousetweaks-fabric-mc1-21-9-2-29.jar
  • https://static.planetminecraft.com/files/resource_media/mod/no-delay-optimizer1-21-4.jar
  • https://weedhack.to/dashboar
  • https://whnewreceive.ru/
  • https://whpayment.ru
  • https://whreceiverrrrrrrrr.ru/da
  • https://whtempdomain.com
  • https://whtempdomain.com/
  • https://www.notenoughupdates.net/downloads/NotEnoughUpdates-1.21.5.jar
  • https://www.skytils.net/skytils-1.21.11.jar
  • https://xenonclient.com/downloads/XenonClient-1.21.jar

SHA256

  • 08a64523d7a05defb6cc5c87df340d76f9ef7ccc9623a0d338981be4cd9cd6c7
  • 14118a6070f89baafd5f2aeaf2df7535a8053f99944453584f0d1efeb6501ac3
  • 1b5ca4d2b5eb23041da0f6effdc408d50768701d4140a21c9fbd244f9458d720
  • 226889380ca1695158cd42ba4b7d89352c4fa74010583669ac89ad69fdefd566
  • 256b5b5d0524c442261028767b94f7188b0b81663b50c63300fca7733a04ea7d
  • 29546a03e07bfeb3025313b12671c758ced1c4921a4bc859a7ab40ec52584cdb
  • 2a5baf86a3e982eb557dffffabb619c9e80581d41cdc4b85b06367b588647a7d
  • 32e743d1e3957f35651a9d15a83bc128b82108c17b0fa64d63fa98b1d326fc9d
  • 36a89f65fe2d693a094b51495f3a84d0f4f2ae7276649952d6f78c85282e6f6d
  • 37bcec9ba357a2cb13a4f0f910e40f01e33973a5d637a3487c298105ae1ff22b
  • 3951533d56803cd5d708014b4eed7e30349b4c4ba43f7d843133b3a5e2992ce6
  • 5d537a058ec19e6ceea593738f122b777d866042ea0bad194539757de13c46f4
  • 5f7680feccc15814299df3c3c11e9b1c4f33069aac5a19c03b87e15f30c2312b
  • 697ee941abee202d8e84e5e3fed8b9f34eea8772ee56dc867fce017507a5eeaf
  • 6b2218999ac27f6085cb02f693a3c99bd6abedfc20e00e22709e526015c89f4e
  • 77dd1dd9b12699c64ab31c0140b28c70339014a0969f3bb7a79068f5b8f3f34a
  • 790ff5cda1668e7aa390fbb1682a4d578195aa40542f64b7b6d56a6eccde12c9
  • 7f69a67316872186fd440b4126a77c419f14b459542181c5e12feb49a223fd39
  • 86f8c0a92eb9aba3c3416667361652a9e11b6ddc1119bb5b3564bc107b950ddb
  • 88d8ac22ea323842cd760d645daea54043739d45a0fa61fd72fe5a5c9acb5e69
  • 8b53f53f72b8fef755666b6f239c06a69a9940e1b9f5d19e022150750035fa80
  • 902cb8bfa3863df299ac804dc77e3e9366658b2b3c2ec5d3a1bdaf2e52520ce5
  • 9682adf40a3621ffe5e1b426c5b90d0ed70e663738857bb4d18d37d93bbd4e6c
  • a81ba29e550beae21fff69bfe0478249eb7078b173f9cf2040d74df299fc9d5b
  • b982fbafa954a8dcf7cfcffe31bcf75a86b052b1f01cf535ffcafd2c48a56b60
  • b9f71ed4b08c93a7fc5468bee23660e3129e1cf9c84100d4d40ad70fb7c851fa
  • c7691712d794d4ef582c591566bf5fda76a364b0bcdad315adbaaec8607ad0f3
  • cf9bc0a3e01a7b466bc35dbf88563adf61c884ad5fb2b28afd1298a5f723f370
  • d28bc760f0b80905ea199809ad7ebfc73ab12aeab0ad3ee2dd11990657d2d9eb
  • d3f2464ae0e48218e1d48bdfab8301ee5236f7624adcdba1720dc27058461076
  • d468983f98ff100ad8fd613315af4c88d67bec76782b66b260c413c587987bf0
  • d4918dbf7ada4883d89a01dcf5332413b7773b12d0e479f2cf502e3245c93720
  • d81b98a69363d8d994ef553beeb5e15384ed32f0e343708b73c7e6b313b9aace
  • db533717da686f3b76b9de85ecd80d326a14572056a33d31f794bffbffd96c26
  • dba9908f63f5f32405f7a728f37979e743814532378cabc4f0e9f24c34197c60
  • e123d1f7cbea562237f7a5f50638d148fb58048c9ad095e0b0ad52e43bfedad0
  • ea595940815a11901bd99214b26d9528034f7182bd6c3bf2fe3179ac92e00afc
  • ef31bb219b84744e02f90947f31a25958b2b34524ed3795799ed6eff876e4bcd
  • f2100e1f73477bc565f8909e069942dac1f884654ed4ba213ca9a84b1e761ab8
  • f790346bece8e448313f701586cc7fd18291dfda721aae8d86ebfacf14055645
  • f9a6911e8d9130c779db2e79f901d75d90f9e3ad08c36e7fb927959b7d988bae
  • fdceafe4dcf9cf6d23b2033824275c08ec73d6b01adc644416e43ecca94c89c9

Комментарии: 0