Кампания по распространению вредоносного ПО WeedHack
Исследователи в области кибербезопасности обнаружили сложную кампанию по распространению вредоносного ПО, направленную на игроков Minecraft, которая использует манипуляции с YouTube и поисковыми системами для заражения пользователей вредоносным ПО, способным получить контроль над их системами.
Операция, отслеживаемая под названием Weedhack, активна с января 2026 года. Злоумышленники маскируют вредоносное программное обеспечение под клиенты и моды Minecraft, заманивая пользователей к загрузке зараженных файлов. Исследователи выявили 3820 уникальных вредоносных JAR-файлов и более 240 URL-адресов, участвующих в распространении вредоносного ПО.
Для максимального охвата аудитории кампания использует методы SEO-атаки и контент на YouTube, рекламирующий якобы легитимные модификации для Minecraft. Следователи уже выявили множество видеороликов и как минимум два канала на YouTube, перенаправляющих зрителей на вредоносные сайты для скачивания.
Оглавление
За этой кампанией стоит профессиональная криминальная платформа.
В основе операции лежит продвинутая панель управления, размещенная на weedhack.to, которая предоставляет киберпреступникам доступ к украденным учетным данным, информации о системе и возможностям мониторинга скомпрометированных устройств. Платформа также позволяет клиентам создавать собственные вредоносные программы, нацеленные на версии Minecraft от 1.21.0 до 1.21.11, и даже внедрять вредоносный код в легитимные модификации Minecraft.
Вредоносная экосистема распространяется через Telegram-канал, насчитывающий более 850 участников. Канал служит центром для рекламы сервиса, распространения обновлений и предоставления поддержки пользователям платформы.
Как работает цепочка заражения
Атака начинается с того, что жертва загружает вредоносный JAR-файл под названием DonutDupe.jar с одного из мошеннических веб-сайтов. После запуска файл получает информацию о сервере управления и контроля (C2) с помощью EtherHiding — метода, использующего блокчейн Ethereum в качестве средства разрешения тайников.
Затем вредоносная программа связывается с инфраструктурой управления и контроля (C2) и загружает вторую полезную нагрузку на основе Java, известную как Elevator.jar. Этот компонент собирает информацию о системе, создает исключения в Microsoft Defender и подготавливает систему для развертывания дополнительных вредоносных программ.
Третий вредоносный файл, SecurityManager.jar, обеспечивает постоянное присутствие на зараженном устройстве и выступает в качестве компонента для подготовки к заражению. Наконец, распространяется Component.jar, который активирует функцию удаленного доступа, предоставляя злоумышленникам широкий контроль над скомпрометированными системами.
Бесплатные и платные предложения вредоносного ПО
Платформа Weedhack предлагается в двух вариантах подписки:
Бесплатный уровень : включает в себя мощную программу для кражи информации, способную собирать идентификаторы сессий Minecraft, данные из четырех лаунчеров Minecraft, скриншоты, файлы, системную информацию, файлы cookie браузеров, пароли из 36 веб-браузеров, информацию из 56 браузерных криптовалютных кошельков и 12 настольных приложений-кошельков, а также учетные данные, связанные с Discord, Steam и Telegram.
Премиум-версия : доступна по цене от 4,99 долларов в месяц или 24,99 долларов за пожизненную лицензию. Эта версия добавляет расширенные функции удаленного доступа, такие как наблюдение с веб-камеры, перехват нажатий клавиш, выполнение команд в обратном порядке, демонстрация экрана с управлением клавиатурой и мышью, а также возможности передачи файлов.
Глобальный охват и снижение барьера для киберпреступности
Большинство случаев заражения зарегистрировано в Соединенных Штатах, за которыми следуют Германия, Индия, Великобритания, Италия, Вьетнам, Канада, Норвегия, Швеция, Финляндия и Испания.
Отличительной чертой Weedhack является его доступность в открытом интернете, а не на скрытых подпольных рынках. Предоставляя бесплатный доступ к сложному вредоносному ПО вместе с подробными инструкциями, платформа значительно снижает порог входа для начинающих киберпреступников. Дополнительная возможность кражи аккаунтов Minecraft еще больше повышает ее привлекательность для молодых пользователей, делая эту кампанию особенно опасной и эффективной.
От киберпреступности к кибербуллингу
Исследователи также отметили тревожный социальный аспект этой кампании. Многие пользователи, по всей видимости, — подростки и молодые люди, которые используют функции удаленного доступа вредоносного ПО для запугивания, преследования и слежки за жертвами.
Следователи задокументировали случаи, когда злоумышленники тайно записывали жертв через взломанные веб-камеры, а затем делились видеозаписями в Telegram-канале в качестве так называемых «трофеев». Такое поведение подчеркивает, как вредоносные платформы, подобные Weedhack, не только способствуют традиционной киберпреступности, но и позволяют осуществлять целенаправленный кибербуллинг и цифровое преследование.
