Исследователи кибербезопасности раскрыли масштабную вредоносную кампанию, в ходе которой платформа WeedHack, функционирующая по модели «вредоносное ПО как услуга», заразила свыше 116 тысяч персональных компьютеров игроков в Minecraft. Злоумышленники внедряют троянский код непосредственно в игровые модификации и распространяют заражённые файлы через поддельные веб-сайты, а также через видеоинструкции на популярных платформах, где жертвам демонстрируют процесс установки мода, одновременно скрывая присутствие вредоносной нагрузки. Операторы WeedHack монетизируют доступ к заражённым машинам путём продажи подписок стоимостью пять долларов США в месяц, предлагая клиентам полный контроль над скомпрометированными системами, включая кражу паролей, удалённый доступ к файловой системе и перехват управления веб-камерой.
Модель Malware-as-a-Service, сокращённо MaaS, представляет собой превращение киберпреступной деятельности в коммерческую услугу, где разработчик создаёт вредоносный инструментарий и сдаёт его в аренду менее технически подкованным злоумышленникам. Такой подход радикально снижает порог входа в сферу компьютерной преступности: клиенту не требуется уметь программировать эксплойты или обходить антивирусную защиту, он просто оплачивает подписку, получает доступ к панели управления заражёнными устройствами и выбирает нужный сценарий атаки. WeedHack довела эту модель до уровня массового продукта с ценой входа всего в пять долларов в месяц, что сопоставимо со стоимостью чашки кофе в западных странах.
Специфика кампании WeedHack заключается в выборе жертв и метода доставки полезной нагрузки. Игроки в Minecraft, особенно те, кто активно устанавливает пользовательские модификации, представляют собой идеальную целевую аудиторию по нескольким причинам. Во-первых, культура моддинга приучила миллионы пользователей скачивать исполняемые файлы из неофициальных источников и отключать предупреждения антивирусов, которые часто ложно срабатывают на самодельные моды. Во-вторых, значительная часть аудитории игры — подростки и молодые люди, не обладающие достаточным опытом для распознавания фишинговых сайтов и подозрительных установщиков. В-третьих, Minecraft остаётся одной из самых популярных игр в мире с аудиторией более 170 миллионов активных пользователей в месяц, что обеспечивает злоумышленникам практически неисчерпаемый источник новых жертв.
Механизм заражения начинается с поддельного веб-сайта, который внешне копирует легитимные площадки по распространению модов, такие как CurseForge, Modrinth или Planet Minecraft. Злоумышленники регистрируют домены, визуально похожие на оригинальные, наполняют страницы контентом и с помощью поисковой оптимизации добиваются их появления в первых строках выдачи по запросам вроде «скачать мод на майнкрафт бесплатно». Параллельно на YouTube и аналогичных платформах размещаются видеоролики, в которых показывается пошаговая установка модификации. Жертва следует инструкции, скачивает архив, запускает установщик — и в этот момент на компьютер проникает троян, вшитый внутрь файла мода таким образом, что игра продолжает работать штатно, не вызывая подозрений.
Функциональность внедрённого кода охватывает три основных направления. Первое — сбор учётных данных: троян методично извлекает пароли, сохранённые в браузерах, клиентах электронной почты, игровых лаунчерах и FTP-менеджерах, после чего отправляет их на управляющий сервер. Второе — удалённый доступ к файловой системе, позволяющий оператору WeedHack или его клиенту просматривать, копировать и удалять любые файлы на заражённой машине, включая личные документы, фотографии и рабочие проекты. Третье — перехват управления веб-камерой, дающий возможность незаметно включать запись видео и аудио, что создаёт прямую угрозу приватности и потенциально используется для шантажа. Все три функции работают в фоновом режиме, не отображаясь в списке активных процессов под своими настоящими именами и маскируясь под системные службы.
Масштаб в 116 тысяч подтверждённо заражённых компьютеров делает WeedHack одной из крупнейших MaaS-кампаний, нацеленных на игровое сообщество. Для сравнения, получившая широкую огласку в 2023 году вредоносная кампания Fractureiser, также распространявшаяся через моды для Minecraft, успела поразить около шести тысяч устройств до своего обнаружения и блокировки. Разница почти в двадцать раз объясняется как возросшей изощрённостью методов распространения, так и длительным периодом скрытной активности WeedHack: по оценкам специалистов, платформа действовала не менее восьми месяцев до момента обнаружения, постепенно наращивая сеть заражённых машин и совершенствуя механизмы обхода антивирусного ПО.
Коммерческая модель WeedHack с подпиской за пять долларов в месяц заслуживает отдельного анализа. Эта сумма открывает клиенту доступ к панели управления, где он может выбрать одну или несколько заражённых машин из общего пула и выполнить на них определённый набор команд. Более дорогие тарифные планы, существование которых предполагают исследователи, могут включать приоритетный доступ к свежезаражённым устройствам, расширенные функции эксфильтрации данных и техническую поддержку от операторов платформы. При ста тысячах активных ботов даже скромная конверсия в платящих клиентов приносит операторам доход, исчисляемый десятками тысяч долларов ежемесячно, что делает MaaS экономически самоподдерживающейся моделью криминального бизнеса.
Географическое распределение жертв, по предварительным данным, охватывает преимущественно Северную Америку, Западную Европу и Юго-Восточную Азию — регионы с высокой концентрацией игроков в Minecraft и широким распространением скоростного домашнего интернета. Заражённые компьютеры образуют ботнет, который операторы WeedHack могут использовать не только для кражи данных с самих устройств, но и для проведения распределённых атак типа «отказ в обслуживании», рассылки спама, майнинга криптовалют или сдачи вычислительных мощностей в аренду через подпольные прокси-сервисы. Таким образом, каждый заражённый ПК приносит прибыль сразу по нескольким каналам монетизации.
Эксперты по информационной безопасности рекомендуют игрокам устанавливать модификации исключительно из проверенных источников с подтверждённой репутацией, проверять цифровые подписи скачанных файлов и не отключать антивирусное программное обеспечение при установке контента, полученного из интернета. Отдельного внимания требует бдительность в отношении видеоинструкций: даже ролик, набравший сотни тысяч просмотров и положительных комментариев, может оказаться частью вредоносной кампании, поскольку метрики накручиваются ботами, а комментарии фабрикуются через те же заражённые устройства. Родителям несовершеннолетних игроков советуют настроить ограниченные учётные записи без прав администратора, что существенно сужает возможности трояна по внедрению в системные каталоги и отключению защитных механизмов операционной системы.
На момент публикации правоохранительные органы не делали официальных заявлений о пресечении деятельности WeedHack, а сама платформа, по всей видимости, продолжает функционировать, регулярно меняя IP-адреса управляющих серверов и доменные имена поддельных сайтов. Исследователи передали собранные технические индикаторы компрометации в антивирусные компании для внесения сигнатур в базы данных, однако операторы MaaS-платформ обычно реагируют на такие блокировки оперативным обновлением обфускации кода, и противостояние переходит в формат гонки вооружений, где защищающаяся сторона всегда находится в положении догоняющего.
