- Автор темы
- #1
Исследователи из компании McAfee обнаружили масштабную вредоносную кампанию WeedHack, нацеленную на игроков Minecraft. Под видом модов, читов и клиентов для Minecraft злоумышленники распространяют инфостилер, который уже успел скомпрометировать порядка 116 000 систем по всему миру.
Специалисты сообщают, что кампания активна как минимум с января 2026 года, затронула уже 116 464 системы, и ежедневно эксперты фиксируют от 2000 до 3000 новых заражений. Больше всего пострадавших находится в США, Германии, Индии и Великобритании.
Атакующие распространяют вредонос через поддельные моды, читы, клиенты и вспомогательные инструменты для Minecraft. Для продвижения малвари используются ролики на YouTube и отравление поисковой выдачи. По данным аналитиков, инфраструктура злоумышленников включает более 240 URL для распространения малвари и 3820 уникальных вредоносных JAR-файлов.
Основным каналом распространения являются именно ролики на YouTube. В описаниях и комментариях к видео хакеры размещают ссылки на загрузку вредоносных файлов. Некоторые ролики выглядят вполне убедительно: содержат озвучку, демонстрацию каких-то функций и набирают тысячи просмотров. К примеру, исследователи обнаружили видео, которое посмотрели более 7500 человек.
Также злоумышленники активно подменяют результаты поиска по популярным запросам, связанным с Minecraft, включая: Meteor Client, Wurst Client, Aristois, LiquidBounce, Impact Client, Future Client и другие. Многие из этих проектов официально представлены только на GitHub и вообще не имеют собственных сайтов, чем и пользуются хакеры, создавая правдоподобные фальшивые сайты.
В одном из случаев исследователи обнаружили особенно любопытную приманку. Поддельный сайт предупреждал посетителей о фейковых сборках мода Skytils и даже ссылался на официальный GitHub-репозиторий проекта и его сервер Discord. Такая схема должна была убедить пользователей, что ресурс настоящий и заслуживает доверия.
Вредоносный сайт с предупреждением
Эксперты рассказывают, что сама малварь WeedHack представляет собой весьма необычный MaaS-проект (Malware-as-a-Service). В отличие от большинства конкурентов, платформа работает не в даркнете, а в открытой сети и предоставляет бесплатный доступ для всех желающих. Пользователи получают в свое распоряжение веб-панель, где доступны сведения о зараженных устройствах, украденные данные и инструменты для создания новых вредоносных сборок для Minecraft версий 1.21.0–1.21.10.
Панель управления WeedHack
Бесплатная версия стилера похищает игровые сессии Minecraft, файлы cookie и сохраненные пароли из 36 браузеров, данные 56 криптовалютных расширений и 12 десктопных криптокошельков, а также учетные данные из Discord, Steam и Telegram. Помимо этого вредонос способен делать скриншоты экрана зараженной системы.
За дополнительную плату операторы малвари предлагают расширенную версию. Подписка стоит 5 долларов США в месяц, а бессрочная лицензия обойдется в 24,99 доллара США. В этой версии в WeedHack добавляется удаленное управление зараженным компьютером, доступ к веб-камере, кейлоггер, реверс-шелл и средства для работы с файлами.
Схема атак
По данным McAfee, Telegram-канал проекта уже насчитывает более 800 участников. Исследователи отмечают, что среди клиентов WeedHack много подростков и молодых пользователей, которые используют удаленные функции малвари для преследования и издевательств над своими жертвами.
Специалисты рекомендуют игрокам загружать моды только из официальных источников, внимательно проверять ссылки на скачивание и с осторожностью относиться к JAR-файлам, размещенным на сомнительных сайтах. Если же хочется расширить возможности игры без лишнего риска, самым безопасным вариантом остается официальный Minecraft Marketplace.
Специалисты сообщают, что кампания активна как минимум с января 2026 года, затронула уже 116 464 системы, и ежедневно эксперты фиксируют от 2000 до 3000 новых заражений. Больше всего пострадавших находится в США, Германии, Индии и Великобритании.
Атакующие распространяют вредонос через поддельные моды, читы, клиенты и вспомогательные инструменты для Minecraft. Для продвижения малвари используются ролики на YouTube и отравление поисковой выдачи. По данным аналитиков, инфраструктура злоумышленников включает более 240 URL для распространения малвари и 3820 уникальных вредоносных JAR-файлов.
Основным каналом распространения являются именно ролики на YouTube. В описаниях и комментариях к видео хакеры размещают ссылки на загрузку вредоносных файлов. Некоторые ролики выглядят вполне убедительно: содержат озвучку, демонстрацию каких-то функций и набирают тысячи просмотров. К примеру, исследователи обнаружили видео, которое посмотрели более 7500 человек.
Также злоумышленники активно подменяют результаты поиска по популярным запросам, связанным с Minecraft, включая: Meteor Client, Wurst Client, Aristois, LiquidBounce, Impact Client, Future Client и другие. Многие из этих проектов официально представлены только на GitHub и вообще не имеют собственных сайтов, чем и пользуются хакеры, создавая правдоподобные фальшивые сайты.
В одном из случаев исследователи обнаружили особенно любопытную приманку. Поддельный сайт предупреждал посетителей о фейковых сборках мода Skytils и даже ссылался на официальный GitHub-репозиторий проекта и его сервер Discord. Такая схема должна была убедить пользователей, что ресурс настоящий и заслуживает доверия.
Вредоносный сайт с предупреждениемЭксперты рассказывают, что сама малварь WeedHack представляет собой весьма необычный MaaS-проект (Malware-as-a-Service). В отличие от большинства конкурентов, платформа работает не в даркнете, а в открытой сети и предоставляет бесплатный доступ для всех желающих. Пользователи получают в свое распоряжение веб-панель, где доступны сведения о зараженных устройствах, украденные данные и инструменты для создания новых вредоносных сборок для Minecraft версий 1.21.0–1.21.10.
Панель управления WeedHackБесплатная версия стилера похищает игровые сессии Minecraft, файлы cookie и сохраненные пароли из 36 браузеров, данные 56 криптовалютных расширений и 12 десктопных криптокошельков, а также учетные данные из Discord, Steam и Telegram. Помимо этого вредонос способен делать скриншоты экрана зараженной системы.
За дополнительную плату операторы малвари предлагают расширенную версию. Подписка стоит 5 долларов США в месяц, а бессрочная лицензия обойдется в 24,99 доллара США. В этой версии в WeedHack добавляется удаленное управление зараженным компьютером, доступ к веб-камере, кейлоггер, реверс-шелл и средства для работы с файлами.
Схема атакПо данным McAfee, Telegram-канал проекта уже насчитывает более 800 участников. Исследователи отмечают, что среди клиентов WeedHack много подростков и молодых пользователей, которые используют удаленные функции малвари для преследования и издевательств над своими жертвами.
Специалисты рекомендуют игрокам загружать моды только из официальных источников, внимательно проверять ссылки на скачивание и с осторожностью относиться к JAR-файлам, размещенным на сомнительных сайтах. Если же хочется расширить возможности игры без лишнего риска, самым безопасным вариантом остается официальный Minecraft Marketplace.