McAfee Labs раскрыла кампанию Weedhack — платформу «вредоносное ПО как услуга» (MaaS), нацеленную на игроков Minecraft. По данным исследователей, злоумышленники используют YouTube-каналы и отравление поисковой выдачи (SEO poisoning) для распространения вредоносных Java-архивов, замаскированных под моды и клиенты Minecraft. Кампания, предположительно активная с января 2026 года, затрагивает преимущественно пользователей из США, Германии, Индии и Великобритании. Идентифицировано 3820 уникальных вредоносных JAR-файлов и более 240 URL-адресов распространения. Бесплатный уровень сервиса предоставляет полноценный инфостилер, а премиум-подписка от $4,99 в месяц — возможности удалённого доступа, включая управление веб-камерой и кейлоггинг.
Техническая цепочка заражения Weedhack
Согласно исследованию McAfee Labs, атака начинается с загрузки вредоносного JAR-файла (DonutDupe.jar) с поддельных сайтов, продвигаемых через SEO-отравление и видеоролики на двух обнаруженных YouTube-каналах. Видео демонстрируют моды и клиенты Minecraft, а в описании содержат ссылки на вредоносные ресурсы.
Первичный загрузчик DonutDupe.jar использует технику EtherHiding — извлечение адреса командного сервера (C2) через блокчейн Ethereum, который выступает в роли «мёртвого почтового ящика» (dead drop resolver). Это затрудняет блокировку инфраструктуры стандартными средствами, поскольку данные в блокчейне невозможно удалить или отредактировать.
Далее цепочка заражения разворачивается поэтапно:
- Elevator.jar — второй этап: сбор системной информации, настройка исключений в Microsoft Defender, загрузка двух дополнительных компонентов.
- SecurityManager.jar — закрепление в системе (persistence) и подготовка к развёртыванию финального модуля.
- Component.jar — финальный компонент с функциями удалённого доступа.
Центральным элементом инфраструктуры является панель управления на домене weedhack[.]to, размещённая в открытом интернете. Она позволяет клиентам просматривать украденные учётные данные, отслеживать скомпрометированные системы и создавать кастомные полезные нагрузки для версий Minecraft с 1.21.0 по 1.21.11. Как сообщается, сервис также способен внедрять вредоносный код в легитимные моды Minecraft.
Модель монетизации и масштаб возможностей
Weedhack предлагает двухуровневую модель подписки. Бесплатный уровень уже включает серьёзный набор инструментов:
- Кража сессионных идентификаторов Minecraft и данных четырёх лаунчеров
- Снятие скриншотов экрана
- Извлечение паролей и cookies из 36 веб-браузеров
- Кража данных из 56 браузерных криптовалютных кошельков и 12 десктопных приложений кошельков
- Хищение учётных данных Discord, Steam и Telegram
Премиум-подписка ($4,99/месяц или $24,99 за пожизненную лицензию) добавляет: доступ к веб-камере, кейлоггинг, обратную оболочку (reverse shell), демонстрацию экрана с управлением клавиатурой и мышью, загрузку и скачивание файлов. Операторы продвигают сервис через Telegram-канал с более чем 850 участниками, где также предоставляют техническую поддержку клиентам.
Контекст угроз: параллельные кампании
Weedhack — не единственная масштабная кампания, выявленная исследователями в этот период. McAfee Labs параллельно сообщила о кампании CountLoader — JavaScript-загрузчика, распространяемого через сайты с пиратским ПО. По оценкам, CountLoader скомпрометировал около 86 000 уникальных машин, причём примерно 9 000 заражений произошли через USB-накопители. Наибольшее число инфекций зафиксировано в Индии, Индонезии и США. Финальной полезной нагрузкой в последних атаках стал криптовалютный клиппер, подменяющий адреса кошельков в буфере обмена. McAfee удалось перехватить инфраструктуру управления CountLoader путём регистрации подставного C2-домена (sinkholing).
Отдельно Kaspersky описала многолетнюю кампанию, использующую пиратские стриминговые сайты для распространения форка SilentCryptoMiner. Заражение происходит через поддельное обновление видеоплеера: ZIP-архив содержит легитимный исполняемый файл (HLS Installer.874.exe) и вредоносную DLL, запускающую боковую загрузку (DLL side-loading). Вредоносное ПО отключает защитные механизмы Windows, многократно запрашивает повышение привилегий через UAC, разворачивает майнеры XMRig для CPU и GPU, а также RAT-агент для удалённого управления. Предположительно, эта активность является продолжением кампании, задокументированной NTT Security в апреле 2023 года.
Оценка воздействия
Weedhack представляет специфическую угрозу по нескольким причинам. Размещение на открытом сайте (а не в даркнете), бесплатный уровень с полноценным инфостилером и наличие обучающих материалов радикально снижают порог входа для потенциальных злоумышленников. Целевая аудитория Minecraft — преимущественно подростки и молодые люди — усиливает риск: жертвы менее осведомлены о методах социальной инженерии, а кража игровых аккаунтов создаёт дополнительную мотивацию для атакующих.
Географически наибольшему риску подвержены пользователи в США, Германии, Индии, Великобритании, Италии, Вьетнаме, Канаде и скандинавских странах. Использование EtherHiding для хранения адресов C2 в блокчейне Ethereum делает инфраструктуру устойчивой к традиционным методам блокировки — домен можно заблокировать, но данные в блокчейне останутся доступными.
Практические рекомендации
- Загрузка модов только из официальных источников: используйте проверенные платформы (CurseForge, Modrinth) с верификацией авторов. Любые JAR-файлы, загруженные по ссылкам из YouTube-описаний, следует считать подозрительными.
- Мониторинг исключений Microsoft Defender: проверьте текущие исключения командой
Get-MpPreference | Select-Object -ExpandProperty ExclusionPathв PowerShell. Несанкционированные записи — индикатор компрометации. - Блокировка известных IOC: добавьте домен weedhack[.]to в чёрные списки DNS и прокси-серверов. Отслеживайте сетевую активность, связанную с обращениями к контрактам Ethereum из неигровых процессов.
- Контроль запуска JAR-файлов: настройте политики AppLocker или WDAC для ограничения выполнения Java-архивов из пользовательских директорий (Downloads, Temp, AppData).
- Проверка USB-устройств: в контексте угрозы CountLoader убедитесь, что политики автозапуска съёмных носителей отключены (AutoRun/AutoPlay).
- Образовательная работа: для организаций с молодой аудиторией (школы, библиотеки) — проведите информирование о рисках загрузки модов из непроверенных источников.
Три описанные кампании — Weedhack, CountLoader и распространение SilentCryptoMiner через пиратские сайты — объединяет общий вектор: злоупотребление доверием пользователей к бесплатному контенту. Приоритетное действие для администраторов — аудит исключений Defender и политик запуска JAR-файлов на рабочих станциях, особенно в средах с молодыми пользователями. Для домашних пользователей ключевая защита — загрузка модов Minecraft исключительно через официальные платформы и полный отказ от перехода по ссылкам из описаний YouTube-видео.
