Масштабна шкідлива кампанія під назвою WeedHack націлена на гравців Minecraft і з січня заразила понад 116 000 систем. Шкідливе ПЗ розповсюджується через модифікації, клієнти, чити та утиліти, які просуваються на YouTube і за допомогою SEO-отруєння (SEO poisoning).
WeedHack працює за моделлю malware-as-a-service (MaaS) як інфостилер. Сервіс надає замовникам інтерактивну панель керування для перегляду викрадених облікових даних і інформації про скомпрометовані системи.
За даними телеметрії компанії з кібербезпеки McAfee, WeedHack уразив 116 464 системи, заражаючи в середньому від 2 000 до 3 000 нових пристроїв щодня. Більшість жертв перебувають у США, Німеччині, Індії та Великій Британії.
Масштаб операції відображається у понад 240 URL-адресах для розповсюдження та 3 820 унікальних шкідливих JAR-файлах.
Як розповсюджується WeedHack
У звіті McAfee зазначається, що кампанія WeedHack досягає жертв переважно через відео на YouTube, які демонструють інструменти, повʼязані з Minecraft, а також через SEO-отруєння, що просуває такі ресурси.
На відеоплатформі зловмисники розміщують посилання для завантаження в описах і коментарях. Деякі відео якісно змонтовані, містять озвучення для більшої переконливості та набрали понад 7 500 переглядів.
Метод SEO-отруєння націлений на ключові слова, що відповідають назвам клієнтів: Meteor Client, Radium Client, Wurst Client, Aristois, LiquidBounce, Impact Client, Future Client, Inertia Client, Cornos Client, WWE Client, 3arthh4ck, Salhack, Phobos і Gamesense.
McAfee пояснює, що багато з цих проєктів не мають офіційних вебсайтів — лише сторінки на GitHub.
В одному з випадків, описаному у звіті, шкідливий вебсайт демонструє сповіщення безпеки, яке попереджає відвідувачів, що завантажувати «Skytils» слід лише з офіційного сайту. Сайт навіть посилається на легітимний репозиторій проєкту на GitHub та Discord-сервер, щоб створити переконливе, але хибне відчуття легітимності.
Як працює MaaS-операція
Платформу WeedHack розміщено у відкритому інтернеті, а доступ до неї надається безоплатно, що є вкрай нетиповим для інфостилер-операцій.Користувачі отримують доступ до панелі керування, де відображаються огляд жертв, профілі заражених систем, викрадені дані та конструктор корисного навантаження для версій Minecraft з 1.21.0 до 1.21.10.
Безоплатна версія стилера націлена на викрадення ідентифікаторів сесій Minecraft, файлів cookie та збережених паролів у 36 браузерах, 56 розширеннях для криптовалют, 12 десктопних застосунках криптогаманців, а також облікових даних Discord, Steam і Telegram. Окрім того, шкідливе ПЗ може робити знімки екрана.
WeedHack також пропонує преміум-тариф за 5 доларів на місяць або довічну ліцензію за 24,99 долара з разовою оплатою. Розширена версія додає віддалене керування з доступом до миші та клавіатури, доступ до вебкамери, кейлогер, віддалену командну оболонку та дистанційне керування файлами.
Telegram-канал проєкту має понад 800 учасників. За даними McAfee, чимало клієнтів — підлітки або молоді дорослі, які використовують інструменти віддаленого доступу WeedHack для цькування жертв.
Як захиститися
Гравцям Minecraft слід довіряти лише модам з офіційних джерел проєктів, перевіряти посилання для завантаження та обережно ставитися до JAR-файлів, розміщених на сумнівних сайтах.
Для тих, хто хоче розширити ігровий досвід, найбезпечнішим варіантом є вбудована платформа Minecraft Marketplace.
