Стилер-крипер

Аналитики департамента защиты от цифровых рисков (Digital Risk Protection) компании F6 зафиксировали новую угрозу для пользователей Minecraft по всему миру, включая российских геймеров. Эту схему киберпреступники активно применяют в 2026 году.

Для распространения вредоносного ПО под видом полезного злоумышленники используют короткие видео в TikTok, в которых рекламируют «моды [дополнения к игре Minecraft, которые позволяют изменять или расширять игровой процесс] для дюпа [ошибка в коде игры, которая позволяет дублировать предметы и быстро получить неограниченное количество ценных ресурсов без честной добычи]» и другие читы [программа или код в ней, которые меняют ход компьютерной игры для нечестного получения преимущества].

В распространении ссылок на вредоносные файлы под видом якобы полезных модов участвует сеть из нескольких аккаунтов, управляемых злоумышленниками. Ссылки размещены в описании к роликам и ведут на файлы в формате .jar, предназначенные для установки на устройствах с операционной системой Windows. Анализ показал, что под видом модов злоумышленники распространяют инфостилер WeedHack. Стилер – вредоносное приложение для кражи пользовательских данных. Это ПО можно сравнить с вором-карманником: оно незаметно проникает на устройство, чтобы собрать интересующую информацию и передать ее оператору.

После того как пользователь запускает такой файл на своем компьютере, он действительно работает как мод для Minecraft, маскируя вредоносные действия. Одновременно сразу после установки вредоносный файл загружает дополнительные модули с управляющих серверов (С2) и выполняет произвольный код через скрытые механизмы автозапуска.

После запуска такой мод похищает с компьютера пользователя конфиденциальные данные, включая учетные данные из более чем 40 браузеров, токены сессий Minecraft, токены Discord и криптовалютные кошельки (56 браузерных расширений, а также ряд десктопных кошельков). Также с помощью стилера злоумышленники могут похитить данные из папки tdata Telegram, в которой хранятся зашифрованные данные сессии – с их помощью преступники могут войти в аккаунт пользователя без ввода кода авторизации. В продвинутой версии вредоносного ПО предусмотрены возможности, которые превращают приложение в полноценный троян удаленного доступа (RAT).

Киберпреступники распространяют приложение WeedHack по модели Malware-as-a-Service (MaaS, «вредоносное ПО как услуга»). Аналитики F6 Digital Risk Protection выяснили связь ВПО с доменами и IP-адресами. Значительная часть этих ресурсов (14 доменов из 20) была зарегистрирована в зоне .ru и использовалась как С2 (управляющие серверы), веб-панель для управления вредоносным ПО, а также находились в резерве.

По обращению CERT F6 все 14 доменов в зоне .ru, используемых распространителями вредоносного ПО WeedHack, были заблокированы. Также CERT F6 направил обращение в полицию Кипра для блокировки доменов в зоне .cy, которые эксплуатируются в качестве веб-панели ВПО.

Рекомендации специалистов F6 пользователям Minecraft:
прежде чем установить моды из неофициальных источников, проверьте их репутацию через поисковики, а сами ссылки через публичные песочницы. Если моды рекламируются через короткие видео в TikTok и другие социальные сети, следует проявлять особую осторожность;
не переходе по подозрительным ссылкам и не скачивайте файлы с незнакомых сайтов. Используйте антивирусное ПО с обновленными базами данных.