Кіберзлочинність за 5 доларів: як дітей заманюють через фейкові моди Minecraft
Фахівці McAfee виявили нову небезпечну кіберкампанію WeedHack, яка маскується під моди для популярної гри Minecraft. Зловмисники побудували повноцінну бізнес-модель "шкідливого ПЗ як сервісу", продаючи інструменти для стеження за підпискою та заманюючи у пастку дітей.
Про це пише РБК-Україна, посилаючись на звіт McAfee.
Згідно зі звітом McAfee, кампанія з розповсюдження шкідливого GP WeedHack активізувалася ще у січні. Головним напрямом атак обрано неповнолітніх користувачів гри Minecraft, які завантажують неофіційні модифікації, клієнти та графічні доповнення ("скіни") зі сторонніх ресурсів.
Схема поширення WeedHack
Розповсюдження файлів відбувається двома основними методами:
-
Тематичні майданчики. Зловмисники публікують відеоролики з демонстрацією ігрового процесу на файлообмінниках і додають посилання на завантаження зараженихх файлів в опис.
-
Пошукова оптимізація (SEO poisoning). Створюються спеціалізовані веб-сайти, які позиціонуються як єдині офіційні джерела конкретних модифікацій. Посилання на ці ресурси згодом поширюються у тематичних спільнотах на платформах Discord та Reddit.
Як працює шкідливе ПЗ?
Первинне завантаження WeedHack здійснюється у форматі Java-архіву (JAR-файл) - це не викликає підозр у користувачів, оскільки офіційна версія Minecraft написана мовою Java. Після активації програма перезапускається як новий виконуваний файл і починає процес дешифрування вбудованого списку доменів серверів Ethereum та адрес смарт-контрактів.
Через зазначені блокчейн-адреси у систему завантажується основний шкідливий компонент WeedHack. Під час розпакування та запуску власних скриптів програма автоматично вносить свої виконувані файли до списку виключень антивірусного захисту. За даними тестування McAfee, стандартний інструмент Windows Defender не фіксує і не зупиняє цей етап зараження.
Після закріплення в операційній системі WeedHack починає збір та вивантаження наступної інформації:
-
Дані підключених Wi-Fi мереж.
-
Файли кукі (cookies) веб-браузерів.
-
Цифрові токени авторизації Discord.
-
Облікові дані криптовалютних гаманців.
На фінальній стадії програма налаштовує функції віддаленого доступу, дозволяючи операторам вірусу керувати екраном комп'ютера, використовувати підключену веб-камеру та створювати заплановані завдання для запобігання видаленню софту.
Взаємодія у спільноті MaaS
Аналітики McAfee зазначають, що за розробкою WeedHack стоїть один автор, проте проєкт функціонує за моделлю Malware-as-a-service (Шкідливе ПЗ як сервіс). Програма має дворівневу структуру доступу.
Базовий функціонал інфостілера надається клієнтам безкоштовно. Розширені інструменти, які включають доступ до веб-камери та реєстрацію натискань клавіш (keylogger), продаються за передплатою, вартість якої стартує від 5 доларів на місяць.
Навколо платформи створено спеціалізований кібепростір для клієнтів. На ресурсі розміщено текстові та відеоінструкції щодо вибору цілей та оптимізації кібератак.
Також сайт містить розділ для генерації персоналізованих шкідливих файлів, форму зворотного зв'язку для замовлення нових функцій та інтерактивну таблицю лідерів, яка фіксує кількість успішних заражень комп'ютерів кожним учасником спільноти.
У McAfee зазначили: така скурпульозна організація процесу суттєво знижує технічний бар'єр для входу у кіберзлочинну діяльність для дітей та підлітків, тож батьками слід бути особливо пильними.