Киберпреступность за 5 долларов: как детей заманивают через фейковые моды Minecraft
Специалисты McAfee обнаружили новую опасную киберкампанию WeedHack, которая маскируется под моды для популярной игры Minecraft. Злоумышленники построили полноценную бизнес-модель "вредоносного ПО как сервиса", продавая инструменты для слежки по подписке и заманивая в ловушку детей.
Об этом пишет РБК-Украина, ссылаясь на отчет McAfee.
Согласно отчету McAfee, кампания по распространению вредоносного GP WeedHack активизировалась еще в январе. Главным направлением атак выбраны несовершеннолетние пользователи игры Minecraft, которые загружают неофициальные модификации, клиенты и графические дополнения ("скины") со сторонних ресурсов.
Схема распространения WeedHack
Распространение файлов происходит двумя основными методами:
-
Тематические площадки. Злоумышленники публикуют видеоролики с демонстрацией игрового процесса на файлообменниках и добавляют ссылки на скачивание зараженных файлов в описание.
-
Поисковая оптимизация (SEO poisoning). Создаются специализированные веб-сайты, которые позиционируются как единственные официальные источники конкретных модификаций. Ссылки на эти ресурсы впоследствии распространяются в тематических сообществах на платформах Discord и Reddit.
Как работает вредоносное ПО?
Первичная загрузка WeedHack осуществляется в формате Java-архива (JAR-файл) - это не вызывает подозрений у пользователей, поскольку официальная версия Minecraft написана на языке Java. После активации программа перезапускается как новый исполняемый файл и начинает процесс дешифровки встроенного списка доменов серверов Ethereum и адресов смарт-контрактов.
Через указанные блокчейн-адреса в систему загружается основной вредоносный компонент WeedHack. Во время распаковки и запуска собственных скриптов программа автоматически вносит свои исполняемые файлы в список исключений антивирусной защиты. По данным тестирования McAfee, стандартный инструмент Windows Defender не фиксирует и не останавливает этот этап заражения.
После закрепления в операционной системе WeedHack начинает сбор и выгрузку следующей информации:
-
Данные подключенных Wi-Fi сетей.
-
Файлы куки (cookies) веб-браузеров.
-
Цифровые токены авторизации Discord.
-
Учетные данные криптовалютных кошельков.
На финальной стадии программа настраивает функции удаленного доступа, позволяя операторам вируса управлять экраном компьютера, использовать подключенную веб-камеру и создавать запланированные задачи для предотвращения удаления софта.
Взаимодействие в сообществе MaaS
Аналитики McAfee отмечают, что за разработкой WeedHack стоит один автор, однако проект функционирует по модели Malware-as-a-service (Вредоносное ПО как сервис). Программа имеет двухуровневую структуру доступа.
Базовый функционал инфостилера предоставляется клиентам бесплатно. Расширенные инструменты, включающие доступ к веб-камере и регистрацию нажатий клавиш (keylogger), продаются по подписке, стоимость которой стартует от 5 долларов в месяц.
Вокруг платформы создано специализированное кибепространство для клиентов. На ресурсе размещены текстовые и видеоинструкции по выбору целей и оптимизации кибератак.
Также сайт содержит раздел для генерации персонализированных вредоносных файлов, форму обратной связи для заказа новых функций и интерактивную таблицу лидеров, которая фиксирует количество успешных заражений компьютеров каждым участником сообщества.
В McAfee отметили: такая скурпулезная организация процесса существенно снижает технический барьер для входа в киберпреступную деятельность для детей и подростков, поэтому родителями следует быть особенно бдительными.