Скачал мод для Minecraft и подарил хакерам кошелёк, аккаунты и веб-камеру — заражены более 116 тыс. ПК по всему миру

Исследователи McAfee раскрыли крупную вредоносную операцию WeedHack, нацеленную на игроков Minecraft через поддельные моды и клиенты. Заражение уже затронуло свыше 116 тыс. устройств, и ежедневно к этому числу прибавляется ещё две-три тысячи новых жертв. Кампания работает по модели подписки и распространяется через ролики на YouTube.

Minecraft с момента релиза в 2011 году разошлась тиражом более 350 млн копий и остаётся одной из самых массовых игр планеты. Гигантская аудитория давно манила киберпреступников, но WeedHack сумел выделиться среди прочих атак за счёт необычного подхода к продвижению вредоносного кода. Преступники не стали штурмовать корпорации, а пошли туда, где миллионы людей сами охотно скачивают файлы от незнакомых авторов.

Аналитики McAfee выявили внушительный объём инфраструктуры за этой кампанией. По их подсчётам, обнаружено более 3820 уникальных вредоносных JAR-файлов и свыше 240 адресов, через которые шла раздача. География заражений охватывает десятки стран, среди наиболее пострадавших:

• США;
• Германия;
• Индия;
• Великобритания;
• Италия;
• Вьетнам;
• Канада;
• Норвегия и Швеция;
• Финляндия;
• Испания.

Преступники работают почти как маркетинговое агентство, а не как привычная хакерская группировка. Вместо рассылок и фишинговых писем они вкладываются в продвижение через YouTube и поисковую оптимизацию. Ссылки на заражённые сборки прячут в описаниях видеороликов, в закреплённых комментариях и на сторонних файлообменниках.

Часть видео сделана на удивление качественно. Ролики содержат озвучку, скриншоты геймплея, демонстрацию мода в действии и набирают тысячи просмотров. Отдельные публикации перевалили за отметку в 7500 показов, и для рядового подписчика они выглядят как абсолютно обычный игровой контент. На этом и построен расчёт авторов схемы.

Стоит обратить внимание, что злоумышленники намеренно выбирают для имитации те моды и клиенты, у которых нет официального сайта, а распространение исторически идёт через GitHub, файлообменники и форумы фанатского сообщества.

Уникальные названия сборок помогают занимать верхние строчки поисковой выдачи. Игрок набирает в Google имя интересующей модификации и первым же кликом попадает на страницу, заранее подготовленную преступниками. Ни предупреждений, ни сомнительных доменов, ни странного оформления, всё максимально похоже на обычную фанатскую площадку.

Самое необычное в WeedHack кроется в его коммерческой модели. Большинство платформ-конкурентов вроде Lumma Stealer или X-Worm продаются на закрытых форумах за сотни долларов и требуют от покупателя серьёзных вложений. Авторы WeedHack пошли противоположным путём и сделали продукт максимально доступным:

• базовая сборка раздаётся бесплатно;
• подписка стоит от 5 долларов в месяц;
• пожизненный доступ обойдётся в 24,99 доллара.

По сути, перед нами условно-бесплатное приложение из мира киберпреступности. Только вместо фоторедактора или стримингового сервиса покупатель получает готовый инструментарий для кражи аккаунтов и удалённого подключения к чужим машинам.

Даже бесплатная версия выглядит агрессивно по своим возможностям. Программа умеет похищать идентификаторы игровых сессий Minecraft, собирать данные сразу из четырёх популярных лаунчеров и снимать системную информацию с устройства жертвы. Дополнительно бесплатный пакет вытаскивает cookie-файлы и пароли из 36 браузеров.

На этом аппетиты вредоноса не заканчиваются. WeedHack ориентирован на цифровые активы и охватывает огромный список целей:

• 56 криптовалютных кошельков, работающих через браузерные расширения;
• 12 настольных криптокошельков;
• учётные записи Discord, Steam и Telegram;
• поиск файлов по заданным заранее ключевым словам;
• скриншоты заражённого экрана.

Любопытно, что платная подписка превращает обычный стилер в полноценный инструмент удалённого администрирования с веб-панелью управления, и владелец доступа фактически распоряжается компьютером жертвы как своим собственным.

Премиум-функции позволяют подключаться к веб-камере, фиксировать нажатия клавиш, запускать команды на заражённой машине, наблюдать за экраном в реальном времени и передавать файлы в обе стороны. Заражённое устройство становится удалённо управляемой площадкой, доступной через удобный кабинет в браузере.

Для жертвы вся цепочка начинается с безобидного желания установить новый мод и заканчивается потерей игровых учёток, опустошёнными криптокошельками и утечкой персональных данных. От первого клика до полной компрометации проходят минуты.

Снижение порога входа в этот сегмент рынка пугает не меньше технических деталей. Раньше подобные операции требовали серьёзных навыков программирования и заметного стартового капитала. Сегодня всё работает по модели подписки, и запустить собственную кампанию способен человек без глубоких знаний.

Ранее сообщалось, что рынок электроники столкнулся с последствиями ИИ-бума. Производители дата-центров начали активно скупать память для систем искусственного интеллекта, что привело к дефициту компонентов и росту цен на игровые устройства. За последние месяцы в США подорожали Nintendo Switch 2, PlayStation, Xbox, ноутбуки, планшеты и VR-гарнитуры.

Эксперты редакции CISOCLUB уверены, что мы наблюдаем превращение киберпреступности в полноценную сервисную индустрию по образцу легального SaaS-рынка. Авторы вредоносного ПО заимствуют у IT-компаний всё подряд, от моделей монетизации до маркетинговых приёмов на видеоплатформах. Бесплатная базовая версия за пять долларов в месяц делает атаку доступной школьнику с карманными деньгами.

Платформы вроде YouTube пока проигрывают эту гонку, а модерация описаний и комментариев остаётся слабым звеном. Игровая аудитория, особенно подростковая, превращается в самый удобный полигон для подобных схем, и без массового просвещения родителей и самих игроков ситуация будет только усугубляться.