Кампанія зі шкідливого програмного забезпечення WeedHack
Дослідники з кібербезпеки виявили складну кампанію зі шкідливим програмним забезпеченням, спрямовану на гравців Minecraft, яка використовує YouTube та маніпуляції з пошуковими системами для зараження користувачів шкідливим програмним забезпеченням, здатним взяти під контроль їхні системи.
Операція, що відстежується під назвою Weedhack, триває з січня 2026 року. Зловмисники маскують шкідливе програмне забезпечення під клієнти та моди Minecraft, спонукаючи користувачів завантажувати заражені файли. Дослідники виявили 3820 унікальних шкідливих JAR-файлів та понад 240 URL-адрес, що беруть участь у поширенні шкідливого програмного забезпечення.
Щоб максимізувати охоплення, кампанія покладається на методи SEO-отруєння та контент YouTube, який рекламує нібито легітимні модифікації Minecraft. Слідчі вже виявили кілька відео та щонайменше два канали YouTube, які перенаправляють глядачів на шкідливі сайти завантаження.
Зміст
Професійна кримінальна платформа, що стоїть за кампанією
В основі операції лежить розширена панель інструментів, розміщена на weedhack.to, яка надає кіберзлочинцям доступ до викрадених облікових даних, системної інформації та можливостей моніторингу скомпрометованих пристроїв. Платформа також дозволяє клієнтам створювати власні корисні навантаження шкідливого програмного забезпечення, спрямовані на версії Minecraft від 1.21.0 до 1.21.11, і навіть впроваджувати шкідливий код у легітимні модифікації Minecraft.
Екосистема шкідливого програмного забезпечення просувається через Telegram-канал, який налічує понад 850 учасників. Канал слугує центром для реклами сервісу, розповсюдження оновлень та надання підтримки користувачам платформи.
Як працює ланцюг інфекції
Атака починається, коли жертва завантажує шкідливий JAR-файл під назвою DonutDupe.jar з одного зі шахрайських веб-сайтів. Після виконання файл отримує інформацію про сервер Command-and-Control (C2) через EtherHiding – техніку, яка використовує блокчейн Ethereum як розпізнавач мертвих точок доступу.
Потім шкідливе програмне забезпечення зв’язується з інфраструктурою C2 та завантажує друге корисне навантаження на основі Java, відому як Elevator.jar. Цей компонент збирає системну інформацію, створює виключення Microsoft Defender та готує систему до додаткового розгортання шкідливого програмного забезпечення.
Третє корисне навантаження, SecurityManager.jar, встановлює персистентність на зараженому пристрої та діє як проміжний компонент. Нарешті, доставляється Component.jar, який забезпечує функцію віддаленого доступу, що надає зловмисникам розширений контроль над скомпрометованими системами.
Безкоштовні та преміум-пропозиції щодо шкідливого програмного забезпечення
Платформа Weedhack пропонується через два рівні підписки:
Безкоштовний рівень : Містить потужний викрадач інформації, здатний збирати ідентифікатори сесій Minecraft, дані з чотирьох лаунчерів Minecraft, скріншоти, файли, системну інформацію, файли cookie браузера, паролі з 36 веббраузерів, інформацію з 56 криптовалютних гаманців на базі браузера та 12 настільних гаманців, а також облікові дані, пов'язані з Discord, Steam та Telegram.
Преміум-рівень : доступний від 4,99 доларів США на місяць або 24,99 доларів США за довічну ліцензію, ця версія додає розширені функції віддаленого доступу, такі як спостереження за допомогою веб-камери, логування клавіатури, зворотне виконання оболонки, спільний доступ до екрана за допомогою клавіатури та миші, а також можливості передачі файлів.
Глобальний охоплення та нижчий бар'єр для кіберзлочинності
Найбільше випадків зараження зареєстровано у Сполучених Штатах, далі йдуть Німеччина, Індія, Велика Британія, Італія, В'єтнам, Канада, Норвегія, Швеція, Фінляндія та Іспанія.
Визначальною рисою Weedhack є його доступність у відкритому доступі в Інтернеті, а не на прихованих підпільних торгових майданчиках. Надаючи безкоштовний доступ до складного шкідливого програмного забезпечення разом із детальними навчальними посібниками, платформа значно знижує поріг входу для початківців кіберзлочинців. Додаткова можливість красти облікові записи Minecraft ще більше підвищує його привабливість серед молодих користувачів, роблячи кампанію особливо небезпечною та ефективною.
Від кіберзлочинності до кібербулінгу
Дослідники також помітили тривожний соціальний аспект кампанії. Багато клієнтів, схоже, є підлітками та молодими людьми, які використовують функції віддаленого доступу шкідливого програмного забезпечення для залякування, переслідування та моніторингу жертв.
Слідчі задокументували випадки, коли зловмисники таємно записували жертв через скомпрометовані веб-камери, а потім поширювали відеозаписи в Telegram-каналі як так звані «трофеї». Така поведінка показує, як платформи шкідливого програмного забезпечення, такі як Weedhack, не лише сприяють традиційній кіберзлочинності, але й уможливлюють цілеспрямоване кібербулінг та цифрове переслідування.
