Исследователи McAfee Labs описали крупную вредоносную кампанию WeedHack, которая бьет по игрокам Minecraft через фальшивые моды, читы и игровые клиенты. Кампания активна с января 2026 года. За это время аналитики насчитали 116 464 срабатывания, более 3820 уникальных вредоносных JAR-файлов и свыше 240 URL, через которые распространялись зараженные сборки. Средний темп — примерно 2000–3000 срабатываний в сутки.
Главная приманка — привычная для Minecraft экосистема модов. Пользователь ищет клиент, мод для Fabric, «дюп» или чит, попадает на ролик в YouTube, TikTok или в поисковую выдачу, открывает аккуратно сделанный сайт и скачивает JAR-файл. Он выглядит как игровой инструмент. Но внутри — многоступенчатый стилер и набор модулей для удаленного доступа. McAfee указывает на SEO-отравление, YouTube-каналы и поддельные сайты, которые имитируют нормальные страницы загрузки.
Формат JAR выбран не случайно. Многие настоящие моды Minecraft распространяются именно так, поэтому файл не выглядит странно для игрока. После запуска первый модуль перезапускает себя через javaw.exe, прячет консольное окно, считывает уникальный идентификатор клиента WeedHack из файла fabric.api.json и идёт за следующими стадиями заражения. В цепочке используются несколько JAR-модулей, загрузка кода в память, обфускация JNIC и обход контроля учётных записей Windows через cmstp.exe.
WeedHack работает не как разовый «самописный вирус», а как сервис для других злоумышленников. McAfee описывает его как Malware-as-a-Service — модель, где оператор предоставляет клиентам панель управления, сборщик вредоносных файлов, статистику заражений, инструкции и доступ к украденным данным. Базовый тариф доступен бесплатно, премиум-функции стоят от $5 в месяц, пожизненный доступ — $24,99. Для сравнения, популярные криминальные сервисы такого класса часто стоят сотни долларов в месяц.
Панель WeedHack показывает заражения, системную информацию, скриншоты, украденные учетные данные и сессионные идентификаторы Minecraft. В ней есть сборка полезной нагрузки под версии Minecraft 1.21.0–1.21.11 и возможность внедрять вредоносный код в легитимные моды.
Бесплатная версия WeedHack уже умеет красть сессионные идентификаторы Minecraft, данные из четырёх лаунчеров, cookies и пароли из 36 браузеров, сведения из 56 браузерных криптокошельков и 12 десктопных кошельков, а также данные Discord, Steam и Telegram. Модуль ищет файлы по 24 ключевым словам и делает скриншоты экрана. McAfee также описывает удаленный доступ к экрану, веб-камере и файловой системе через веб-панель.
Российские исследователи F6 ранее связывали WeedHack с кампанией против русскоязычных игроков Minecraft. Их анализ указывал на распространение через короткие ролики в TikTok, фальшивые Fabric-моды и доменную зону .ru. CERT F6 помог заблокировать 14 доменов в зоне .ru, которые использовались как управляющие серверы, веб-панели или резервная инфраструктура. В публикации F6 также указано прежнее имя семейства — Majanito.
Fabric — популярный загрузчик модов для Minecraft. Он позволяет подключать модификации, менять игровой процесс, добавлять функции и оптимизировать клиент. Именно эта привычная среда делает атаку удобной: игроки давно привыкли скачивать .jar-файлы, складывать их в папку модов и запускать игру без долгой проверки.
Отдельная часть кампании завязана на «дюпы». В игровом сленге это баги или инструменты для дублирования предметов. Такие ролики хорошо цепляют аудиторию: обещают быстрые ресурсы, преимущество на сервере или обход ограничений. F6 нашла аккаунты, которые продвигали такие файлы через короткие видео, а ссылки из описаний вели к вредоносным JAR-файлам с названиями, похожими на обычные моды.
Техническая часть WeedHack выглядит сильно сложнее типового стилера из случайного архива. Первый этап получает адрес управляющего сервера через Ethereum-блокчейн: вредоносный код обращается к смарт-контракту через JSON-RPC, проверяет RSA-подпись ответа и только после этого скачивает следующий модуль. Такой прием McAfee называет EtherHiding. Он помогает операторам менять инфраструктуру и снижает риск перехвата управления кампанией.
После проверки подписи вредоносная программа связывается с сервером управления (C2) для получения полезной нагрузки второго этапа . Эта полезная нагрузка загружается в виде необработанных байтов и полностью распаковывается в памяти. Полезная нагрузка разделяется на файлы классов Java и файлы ресурсов, которые загружаются непосредственно в память с помощью пользовательского загрузчика классов.
После закрепления в системе WeedHack добавляет исключения в Windows Defender, собирает сведения о компьютере, процессоре, видеокарте, оперативной памяти, сетях Wi-Fi и VPN-аккаунтах, делает скриншот и выгружает украденные данные на управляющий сервер. Следующие стадии создают автозапуск через реестр и планировщик задач Windows, а финальные модули отвечают за удаленный доступ, веб-камеру, файловый браузер и постоянное восстановление компонентов после удаления.
В кампании есть неприятная социальная часть. McAfee зафиксировала случаи, когда злоумышленники связывались с жертвами, угрожали им, показывали доступ к веб-камере или системе и публиковали записи в Telegram-канале как «трофеи». На момент публикации у связанного с WeedHack канала было более 850 участников. Исследователи отдельно не стали публиковать часть материалов, так как среди пострадавших могут быть несовершеннолетние.
Minecraft остается самой продаваемой видеоигрой в истории: Guinness World Records сообщает о более 350 млн проданных копий, показатель подтверждён Mojang в Minecraft Annual 2026. Такая аудитория делает игру удобной целью для атакующих: много молодых пользователей, много сторонних модов, много неофициальных сайтов и высокий спрос на «ускорители», клиенты и читы.
McAfee пишет, что больше всего заражений зафиксировано в США, затем идут Германия, Индия, Великобритания, Италия и другие страны. Это не исключает локальные кампании: F6 отдельно описывала активность, ориентированную на русскоязычных игроков и инфраструктуру с доменами .ru и .cy.
Есть новость? Станьте автором.
Мы сотрудничаем с независимыми исследователями и специалистами по кибербезопасности. Отправьте нам новость или предложите статью на рассмотрение редакции.
