McAfee Labs розкрила кампанію Weedhack — платформу «шкідливе ПЗ як послуга» (MaaS), націлену на гравців Minecraft. За даними дослідників, зловмисники використовують YouTube-канали та отруєння результатів пошуку (SEO poisoning) для поширення шкідливих Java-архівів, замаскованих під моди й клієнти Minecraft. Кампанія, ймовірно активна з січня 2026 року, переважно зачіпає користувачів із США, Німеччини, Індії та Великої Британії. Виявлено 3820 унікальних шкідливих JAR-файлів і понад 240 URL-адрес розповсюдження. Безкоштовний рівень сервісу надає повноцінний інфостілер, а преміум-підписка від $4,99 на місяць — можливості віддаленого доступу, зокрема керування веб-камерою та кейлогінг.
Технічний ланцюжок зараження Weedhack
Згідно з дослідженням McAfee Labs, атака починається із завантаження шкідливого JAR-файла (DonutDupe.jar) з підроблених сайтів, просунутих через SEO-отруєння та відеоролики на двох виявлених YouTube-каналах. У відео демонструються моди й клієнти Minecraft, а в описі містяться посилання на шкідливі ресурси.
Первинний завантажувач DonutDupe.jar використовує техніку EtherHiding — отримання адреси командного сервера (C2) через блокчейн Ethereum, який виступає в ролі «мертвого поштового ящика» (dead drop resolver). Це ускладнює блокування інфраструктури стандартними засобами, оскільки дані в блокчейні неможливо видалити чи відредагувати.
Далі ланцюжок зараження розгортається поетапно:
- Elevator.jar — другий етап: збір системної інформації, налаштування винятків у Microsoft Defender, завантаження двох додаткових компонентів.
- SecurityManager.jar — закріплення в системі (persistence) і підготовка до розгортання фінального модуля.
- Component.jar — фінальний компонент із функціями віддаленого доступу.
Центральним елементом інфраструктури є панель керування на домені weedhack[.]to, розміщена у відкритому інтернеті. Вона дає змогу клієнтам переглядати викрадені облікові дані, відстежувати скомпрометовані системи та створювати кастомні корисні навантаження для версій Minecraft з 1.21.0 по 1.21.11. Як повідомляється, сервіс також здатен вбудовувати шкідливий код у легітимні моди Minecraft.
Модель монетизації та масштаб можливостей
Weedhack пропонує двоступеневу модель підписки. Безкоштовний рівень уже містить серйозний набір інструментів:
- Викрадення сесійних ідентифікаторів Minecraft і даних чотирьох лаунчерів
- Створення скриншотів екрана
- Отримання паролів і cookies із 36 веббраузерів
- Викрадення даних із 56 браузерних криптовалютних гаманців і 12 десктопних застосунків-гаманців
- Викрадення облікових даних Discord, Steam і Telegram
Преміум-підписка ($4,99/місяць або $24,99 за довічну ліцензію) додає: доступ до веб-камери, кейлогінг, reverse shell, демонстрацію екрана з керуванням клавіатурою та мишею, завантаження й вивантаження файлів. Оператори просувають сервіс через Telegram-канал із понад 850 учасниками, де також надають технічну підтримку клієнтам.
Контекст загроз: паралельні кампанії
Weedhack — не єдина масштабна кампанія, виявлена дослідниками в цей період. McAfee Labs паралельно повідомила про кампанію CountLoader — JavaScript-завантажувача, що поширюється через сайти з піратським ПЗ. За оцінками, CountLoader скомпрометував близько 86 000 унікальних машин, причому приблизно 9 000 заражень відбулося через USB-накопичувачі. Найбільшу кількість інфекцій зафіксовано в Індії, Індонезії та США. Фінальним шкідливим компонентом у останніх атаках став криптовалютний кліппер, який підміняє адреси гаманців у буфері обміну. McAfee вдалося перехопити інфраструктуру керування CountLoader шляхом реєстрації підставного C2-домена (sinkholing).
Окремо Kaspersky описала багаторічну кампанію, що використовує піратські стримінгові сайти для розповсюдження форку SilentCryptoMiner. Зараження відбувається через підроблене оновлення відеопрогравача: ZIP-архів містить легітимний виконуваний файл (HLS Installer.874.exe) і шкідливу DLL, яка запускає бокове завантаження (DLL side-loading). Шкідливе ПЗ вимикає захисні механізми Windows, багаторазово запитує підвищення привілеїв через UAC, розгортає майнери XMRig для CPU та GPU, а також RAT-агент для віддаленого керування. Ймовірно, ця активність є продовженням кампанії, задокументованої NTT Security у квітні 2023 року.
Оцінка впливу
Weedhack становить специфічну загрозу з кількох причин. Розміщення на відкритому сайті (а не в даркнеті), безкоштовний рівень із повноцінним інфостілером і наявність навчальних матеріалів радикально знижують поріг входу для потенційних зловмисників. Цільова аудиторія Minecraft — переважно підлітки та молоді люди — посилює ризик: жертви менш обізнані про методи соціальної інженерії, а викрадення ігрових акаунтів створює додаткову мотивацію для атакувальників.
З географічного погляду, найбільшому ризику піддаються користувачі в США, Німеччині, Індії, Великій Британії, Італії, Вʼєтнамі, Канаді та скандинавських країнах. Використання EtherHiding для зберігання адрес C2 у блокчейні Ethereum робить інфраструктуру стійкою до традиційних методів блокування — домен можна заблокувати, але дані в блокчейні залишаться доступними.
Практичні рекомендації
- Завантаження модів лише з офіційних джерел: використовуйте перевірені платформи (CurseForge, Modrinth) із верифікацією авторів. Усі JAR-файли, завантажені за посиланнями з описів YouTube, варто вважати підозрілими.
- Моніторинг винятків Microsoft Defender: перевірте поточні винятки командою
Get-MpPreference | Select-Object -ExpandProperty ExclusionPathу PowerShell. Несанкціоновані записи — індикатор компрометації. - Блокування відомих IOC: додайте домен weedhack[.]to до чорних списків DNS і проксі-серверів. Відстежуйте мережеву активність, пов’язану зі зверненнями до контрактів Ethereum із неігрових процесів.
- Контроль запуску JAR-файлів: налаштуйте політики AppLocker або WDAC для обмеження виконання Java-архівів із користувацьких директорій (Downloads, Temp, AppData).
- Перевірка USB-пристроїв: у контексті загрози CountLoader переконайтеся, що політики автозапуску змінних носіїв вимкнено (AutoRun/AutoPlay).
- Просвітницька робота: для організацій із молодою аудиторією (школи, бібліотеки) — проведіть інформування про ризики завантаження модів із неперевірених джерел.
Три описані кампанії — Weedhack, CountLoader і розповсюдження SilentCryptoMiner через піратські сайти — об’єднує спільний вектор: зловживання довірою користувачів до безкоштовного контенту. Пріоритетна дія для адміністраторів — аудит винятків Defender і політик запуску JAR-файлів на робочих станціях, особливо в середовищах із молодими користувачами. Для домашніх користувачів ключовий захист — завантаження модів Minecraft виключно через офіційні платформи та повна відмова від переходу за посиланнями з описів YouTube-відео.
