Фахівці McAfee виявили нову небезпечну кіберкампанію WeedHack, яка маскується під модифікації для популярної гри Minecraft. Зловмисники створили повноцінну бізнес-модель “шкідливого ПЗ як сервісу”, пропонуючи інструменти для стеження за підпискою та заманюючи дітей у пастку.
Згідно з доповіддю McAfee, кампанія з розповсюдження шкідливого ПЗ WeedHack активізувалася ще в січні. Основною метою атак стали неповнолітні користувачі гри Minecraft, які завантажують неофіційні модифікації, клієнти та графічні доповнення (“скіни”) з сторонніх ресурсів.
Схема розповсюдження WeedHack
Розповсюдження файлів відбувається двома основними способами:
-
Тематика платформ. Зловмисники публікують відео з демонстрацією ігрового процесу на файлообмінниках та додають посилання на завантаження заражених файлів у опис.
-
Оптимізація пошукових систем (SEO poisoning). Створюються спеціалізовані веб-сайти, які позиціонуються як єдині офіційні джерела конкретних модифікацій. Посилання на ці ресурси згодом розповсюджуються в тематичних спільнотах на платформах Discord та Reddit.
Як працює шкідливе ПЗ?
Початкове завантаження WeedHack виконується у форматі Java-архіву (JAR-файл) – це не викликає підозр у користувачів, оскільки офіційна версія Minecraft написана на мові Java. Після активації програма перезапускається як новий виконуваний файл і починає процес дешифрування вбудованого списку доменів серверів Ethereum та адрес смарт-контрактів.
Через зазначені блокчейн-адреси в систему завантажується основний шкідливий компонент WeedHack. Під час розпакування та запуску власних скриптів програма автоматично вносить свої виконувані файли до списку виключень антивірусного захисту. За даними тестування McAfee, стандартний інструмент Windows Defender не фіксує і не зупиняє цей етап зараження.
Після закріплення в операційній системі WeedHack починає збір та вивантаження наступної інформації:
-
Дані підключених Wi-Fi мереж.
-
Файли куки (cookies) веб-браузерів.
-
Цифрові токени авторизації Discord.
-
Облікові дані криптовалютних гаманців.
На фінальному етапі програма налаштовує функції віддаленого доступу, що дозволяє операторам вірусу контролювати екран комп’ютера, використовувати підключену веб-камеру та створювати заплановані завдання для запобігання видалення програмного забезпечення.
Взаємодія в спільноті MaaS
Аналітики McAfee зазначають, що за розробкою WeedHack стоїть один автор, проте проект функціонує за моделлю Malware-as-a-service (Шкідливе ПЗ як сервіс). Програма має двоступеневу структуру доступу.
Базовий функціонал інфостилера надається клієнтам безкоштовно. Розширені інструменти, що включають доступ до веб-камери та реєстрацію натискань клавіш (keylogger), продаються за підпискою, вартість якої починається від 5 доларів на місяць.
Навколо платформи створено спеціалізоване кіберпростір для клієнтів. На ресурсі розміщені текстові та відеоінструкції щодо вибору цілей і оптимізації кібератак.
Також сайт містить розділ для генерації персоналізованих шкідливих файлів, форму зворотного зв’язку для замовлення нових функцій та інтерактивну таблицю лідерів, яка фіксує кількість успішних заражень комп’ютерів кожним учасником спільноти.
В McAfee підкреслили: така ретельна організація процесу суттєво знижує технічний бар’єр для входу в кіберзлочинну діяльність для дітей та підлітків, тому батькам слід бути особливо уважними.