Компания F6, российский разработчик технологий для борьбы с киберугрозами, предупредила о новой угрозе для пользователей Minecraft. Под видом модов для популярной игры злоумышленники распространяют вредоносное приложение WeedHack для Windows, которое позволяет похищать данные геймеров и их криптокошельки, а также получать доступ к их аккаунтам в Telegram. Ссылки на вредоносные файлы распространяют через короткие видео в TikTok. Специалисты F6 раскрыли инфраструктуру киберпреступников и помогли заблокировать в зоне .RU 14 доменов, через которые распространители ВПО похищали данные пользователей.
Аналитики департамента защиты от цифровых рисков (Digital Risk Protection) компании F6 зафиксировали новую угрозу для пользователей Minecraft по всему миру, включая российских геймеров. Эту схему киберпреступники активно применяют в 2026 году. Для распространения вредоносного ПО под видом полезного злоумышленники используют короткие видео в TikTok, в которых рекламируют «моды для дюпа» и другие читы.
Моды (модификации) — дополнения к игре Minecraft, которые позволяют изменять или расширять игровой процесс.
Дюп – ошибка в коде игры, которая позволяет дублировать предметы и быстро получить неограниченное количество ценных ресурсов без честной добычи.
Чит – программа или код в ней, которые меняют ход компьютерной игры для нечестного получения преимущества.
В распространении ссылок на вредоносные файлы под видом якобы полезных модов участвует сеть из нескольких аккаунтов, управляемых злоумышленниками. Ссылки размещены в описании к роликам и ведут на файлы в формате .JAR, предназначенные для установки на устройствах с операционной системой Windows. Анализ показал, что под видом модов злоумышленники распространяют инфостилер WeedHack.
Стилер – вредоносное приложение для кражи пользовательских данных. Это ПО можно сравнить с вором-карманником: оно незаметно проникает на устройство, чтобы собрать интересующую информацию и передать её оператору.
После того, как пользователь запускает такой файл на своём компьютере, он действительно работает как мод для Minecraft, маскируя вредоносные действия. Одновременно сразу после установки вредоносный файл загружает дополнительные модули с управляющих серверов (С2) и выполняет произвольный код через скрытые механизмы автозапуска.
После запуска такой «мод» похищает с компьютера пользователя конфиденциальные данные, включая учётные данные из более чем 40 браузеров, токены сессий Minecraft, токены Discord и криптовалютные кошельки (56 браузерных расширений, а также ряд десктопных кошельков). Также с помощью стилера злоумышленники могут похитить данные из папки tdata Telegram, в которой хранятся зашифрованные данные сессии – с их помощью преступники могут войти в аккаунт пользователя без ввода кода авторизации. В продвинутой версии вредоносного ПО предусмотрены возможности, которые превращают приложение в полноценный троян удалённого доступа (RAT).
Киберпреступники распространяют приложение WeedHack по модели Malware-as-a-Service (MaaS, «вредоносное ПО как услуга»). Аналитики F6 Digital Risk Protection выяснили связь ВПО с доменами и IP-адресами. Значительная часть этих ресурсов – 14 доменов из 20 – была зарегистрирована в зоне .RU и использовалась как С2 (управляющие серверы), веб-панель для управления вредоносным ПО, а также находились в резерве.
По обращению CERT F6 все 14 доменов в зоне .RU, используемых распространителями вредоносного ПО WeedHack, были заблокированы. Также CERT F6 направил обращение в полицию Кипра для блокировки доменов в зоне .CY, которые эксплуатируются в качестве веб-панели ВПО.
«Кроме того, направлены жалобы на файлообменники, через которые злоумышленники распространяют вредоносные JAR-файлы, и в техническую поддержку TikTok – обращения об удалении записей, через которые киберпреступники распространяют вредоносные ссылки».
Илья Савин
Ведущий аналитик департамента Digital Risk Protection компании F6
Подробности, индикаторы компрометации – в блоге на Хабре.
Рекомендации специалистов F6 пользователям Minecraft
- Прежде чем установить моды из неофициальных источников, проверьте их репутацию через поисковики, а сами ссылки – через публичные песочницы. Если моды рекламируются через короткие видео в TikTok и другие социальные сети, следует проявлять особую осторожность.
- Не переходе по подозрительным ссылкам и не скачивайте файлы с незнакомых сайтов. Используйте антивирусное ПО с обновленными базами данных.
