ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ

Исследователи в области кибербезопасности выявили новую кампанию, направленную на игроков в Minecraft через YouTube с целью распространения вредоносного ПО, способного получить контроль над системами жертв.

Кампания «вредоносное ПО как услуга» (MaaS), ориентированная на Minecraft, получила от McAfee Labs кодовое название Weedhack. Согласно данным, эта активность наблюдается с января 2026 года и имитирует клиенты и моды Minecraft для заражения пользователей. Всего было выявлено 3820 уникальных вредоносных JAR-файлов и более 240 URL-адресов, ответственных за распространение вредоносного ПО.

«Эта кампания использует SEO-поизонирование и YouTube для генерации трафика на эти вредоносные URL-адреса», — сказал исследователь в области безопасности Ааюш Тьяги. «Мы также обнаружили два канала на YouTube и несколько видеороликов, которые демонстрируют моды и клиенты Minecraft и перенаправляют зрителей на эти URL-адреса».

Центральным элементом кампании является панель управления корпоративного уровня («weedhack[.]to»), которая позволяет злоумышленникам просматривать похищенные учетные данные и системную информацию, а также удаленно отслеживать скомпрометированные системы. Кроме того, она позволяет преступникам создавать пользовательские полезные нагрузки, которые могут нацеливаться на версии Minecraft от 1.21.0 до 1.21.11, не говоря уже о внедрении вредоносного ПО в легитимные моды Minecraft.

Отправной точкой атаки является вредоносный JAR-файл («DonutDupe.jar»), загруженный с вредоносных веб-сайтов. Затем файл извлекает данные о домене командно-контрольного (C2) сервера, используя известную технику под названием EtherHiding, которая использует блокчейн Ethereum в качестве резолвера мертвых ячеек.

На следующем этапе вредоносное ПО связывается с сервером C2, чтобы загрузить еще один JAR-пакет на базе Java («Elevator.jar»), который собирает системную информацию, настраивает исключения Microsoft Defender и служит каналом для доставки двух дополнительных JAR-пакетов. Третий JAR-пакет («SecurityManager.jar») обеспечивает устойчивость и выступает в качестве промежуточного звена для финального компонента («Component.jar»), который развертывает функции удаленного доступа.

Злоумышленники, стоящие за этим инструментарием, используют канал в Telegram для рекламы своего «вареза», рассылки обновлений и предоставления поддержки клиентам. В канале более 850 участников. Сам инструмент, в свою очередь, поставляется в двух версиях —

Бесплатный, который включает в себя комплексный инструмент для кражи информации, способный перехватывать идентификаторы сеансов Minecraft и четырех лаунчеров Minecraft; делать скриншоты; а также собирать файлы, системную информацию, файлы cookie и пароли из 36 различных веб-браузеров, данные из 56 браузерных криптовалютных кошельков и 12 приложений для настольных кошельков, а также учетные данные для Discord, Steam и Telegram.

Премиум, стоимость которого начинается с 4,99 долларов в месяц (или 24,99 долларов за пожизненную лицензию) и предлагает дополнительные возможности удаленного доступа, такие как доступ к веб-камере, кейлоггинг, запуск обратного шелла, совместный доступ к экрану с доступом к клавиатуре и мыши, а также загрузку и скачивание файлов.

Цепочки атак построены вокруг SEO-поизонирования и видео на YouTube, содержащих описания со встроенными ссылками на вредоносные клиенты Minecraft, нацеленные на ничего не подозревающих пользователей. Большинство заражений Weedhack было выявлено в США, за которыми следуют Германия, Индия, Великобритания, Италия, Вьетнам, Канада, Норвегия, Швеция, Финляндия и Испания.

«Одной из ключевых особенностей, делающих Weedhack уникальным, является то, что он размещен в открытом Интернете и предоставляет бесплатный доступ к сложным вредоносным программам», — сказал Тиаги. «Это различие в стоимости и простоте доступа, а также подробные руководства по использованию вредоносного ПО значительно снижают барьер для входа потенциальных клиентов. Кроме того, его способность красть учетные записи Minecraft привлекает более молодую аудиторию. Оба этих фактора дополняют друг друга и делают кампанию гораздо более опасной».