Шкідливе ПЗ у модах для Minecraft дало хакерам доступ до вебкамер 116 000 гравців усього за $5
Хтось побудував хакерський бізнес на Minecraft із безкоштовним тарифом, таблицею лідерів та скринькою пропозицій.
Хтось побудував хакерський бізнес на Minecraft із безкоштовним тарифом, таблицею лідерів та скринькою пропозицій.
Кампанію, яку назвали WeedHack, виявили дослідники з McAfee, які опублікували свої результати 2 червня. На момент оприлюднення звіту було зафіксовано 116 464 випадки зараження, повідомляє Dexerto.
Схема працювала з січня 2026 року, залучаючи від 2000 до 3000 нових жертв щодня. Більшість аналогічних інструментів для створення шкідливого ПЗ коштують від $250 до $500 на місяць і вимагають доступу до даркнету, тоді як для використання WeedHack потрібен був лише акаунт у Discord.
Шкідливе ПЗ поширювалося через фейкові туторіали на YouTube та сайти для завантаження із «отруєною» SEO-оптимізацією, які створювалися для того, щоб випереджати офіційні сторінки модів у пошуковій видачі. Жертвами атаки стали користувачі таких клієнтів, як Meteor, LiquidBounce та Wurst.
Після завантаження шкідливе ПЗ працювало непомітно у чотири етапи: підключалося до командного сервера, прихованого всередині блокчейну Ethereum (щоб уникнути блокування), вимикало Windows Defender, закріплювалося в системі, аби залишатися там після перезавантаження, і — для платних клієнтів — надавало зловмиснику прямий доступ до екрана, вебкамери та файлів жертви. Вартість преміумтарифу стартувала всього від $5 на місяць.
Навіть безплатна версія сама по собі мала серйозний функціонал. Вона викрадала збережені паролі та файли cookie з 36 браузерів, облікові дані Discord і Steam, дані криптовалютних гаманців, а також ID-сесії Minecraft, які дозволяли зловмисникам захоплювати акаунти взагалі без пароля.
Чого дослідники McAfee точно не очікували знайти, так це те, як саме клієнти використовували цей інструмент. Моніторячи Telegram-канал кампанії, який налічував понад 850 учасників, вони зафіксували, що підлітки, судячи з усього, використовували інструменти віддаленого доступу не для крадіжки грошей, а для цькування однолітків — вони записували жертв через їхні вебкамери та викладали ці відео в канал. Відтоді Telegram-канал уже заблокували, а от саму хакерську кампанію — ні; її оператори активно запускають нові домени, щойно старі потрапляють до чорних списків.
Сервіс приймав Bitcoin та Litecoin, створював нову адресу гаманця для кожної транзакції, щоб уникнути відстеження, а також мав дошку побажань, де користувачі голосували за додавання функції «скримерів» та підтримки програм-вимагачів як за найочікуваніші оновлення.
ШІ-бот підтримки Meta дав змогу хакерам без жодних зусиль захопити Instagram-акаунти: навіть двофакторний захист не допоміг
ШІ-бот підтримки Meta дав змогу хакерам без жодних зусиль захопити Instagram-акаунти: навіть двофакторний захист не допоміг
Хакери з рф атакували український сексшоп LOVESPACE. Стався витік номерів телефонів клієнтів
Хакери з рф атакували український сексшоп LOVESPACE. Стався витік номерів телефонів клієнтів
Європейські кіберфахівці виявили нове російське хакерське угруповання GREYVIBE, яке атакує Україну за допомогою ШІ
Європейські кіберфахівці виявили нове російське хакерське угруповання GREYVIBE, яке атакує Україну за допомогою ШІ
Читайте головні IT-новини країни в нашому Telegram
Читайте головні IT-новини країни в нашому Telegram
