Weedhack: MaaS-кампания против игроков Minecraft
Кампания Weedhack представляет собой масштабную операцию в модели Malware-as-a-Service (MaaS), ориентированную на игроков Minecraft. По данным отчета, злоумышленники используют удобный интерфейс для масштабного наблюдения, кражи данных и дальнейшего распространения вредоносного ПО. Активная с января 2026 года операция уже распространила более 3 820 уникальных вредоносных JAR-файлов через различные каналы, делая ставку прежде всего на SEO poisoning и YouTube.
Как работает кампания
По информации из отчета, вредоносное ПО маскируется под легитимные клиенты и моды Minecraft, что позволяет ему привлекать значительный трафик. В среднем ресурсы, связанные с кампанией, получают от 2 000 до 3 000 посещений в день. Для повышения доверия злоумышленники используют обманные методы, создающие у пользователей ощущение легитимности.
Основная аудитория кампании — подростки. Именно им предлагается бесплатный уровень доступа, включающий:
- комплексные infostealers;
- захват идентификаторов сессий Minecraft;
- кражу browser cookies;
- получение credentials из различных сервисов, включая Discord и Steam.
За подписку стоимостью от 5 dollars пользователям открываются дополнительные функции, среди которых:
- удаленный доступ к веб-камерам;
- управление файлами;
- keylogging;
- демонстрация экрана.
Cyberbullying как элемент экосистемы
Отдельного внимания заслуживает то, что операция, по сообщениям, способствует cyberbullying. Пользователи применяют ВПО для преследования и запугивания сверстников, превращая вредоносную инфраструктуру не только в инструмент кражи данных, но и в механизм личной травли.
Таким образом, Weedhack выходит за рамки обычной киберпреступной схемы и становится частью более широкой подростковой среды, где злоумышленнические инструменты используются для демонстрации контроля, шантажа и давления.
Техническая инфраструктура: C2 через Ethereum
Weedhack использует сложные технические методы для поддержания операционной деятельности. В частности, инфраструктура управления C2 задействует blockchain Ethereum для связи. Такой подход обеспечивает операционную устойчивость ВПО: оно может динамически обновлять свои domains управления в ответ на возможные блокировки.
Это делает кампанию значительно более живучей и усложняет ее подавление, поскольку традиционные меры противодействия оказываются менее эффективными против распределенной и адаптивной модели связи.
Многоэтапная загрузка и обход защит
Пакет ВПО работает по многоэтапной схеме. Начальный пакет загружает последующие компоненты с удаленных серверов, применяя obfuscation и другие методы обхода защитных механизмов, включая UAC (User Account Control) в системах Windows.
Финальные payload обеспечивают функции удаленного управления, в том числе:
- доступ к веб-камере;
- manipulation of files;
- закрепление на устройстве жертвы.
Отдельные компоненты, включая ‘RuntimeBroker.exe’, выполняют роль backdoor, позволяя вредоносному ПО восстанавливаться после попыток удаления и сохранять присутствие в системе.
Коммуникация через Telegram
Связь внутри кампании в основном осуществляется через выделенный канал Telegram, который стал центром обсуждений и оперативных инструкций среди пользователей. Именно там, судя по отчету, координируются действия участников и распространяются указания по использованию инфраструктуры Weedhack.
Вывод
Weedhack демонстрирует, насколько быстро эволюционируют MaaS-операции, особенно когда они нацелены на молодую аудиторию и игровые сообщества. Сочетание SEO poisoning, YouTube-продвижения, многоэтапной загрузки, C2 через Ethereum и каналов координации в Telegram делает кампанию одновременно массовой, устойчивой и технически продвинутой.
Ключевой риск заключается не только в краже учетных данных и сессионных идентификаторов, но и в том, что подобные инструменты напрямую подпитывают cyberbullying, усиливая вредоносный эффект за пределами чисто технической киберугрозы.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
