В течение нескольких лет моды для Minecraft регулярно использовались в качестве приманки в хакерских кампаниях. Принцип часто один и тот же: игрок ищет клиент, мод или инструмент, призванный улучшить его игровой опыт, натыкается на видео или веб-сайт, которые кажутся заслуживающими доверия, а затем скачивает вредоносный файл.
Последняя кампания, о которой сообщила лаборатория McAfee, называется WeedHack . В отчете, опубликованном 2 июня 2026 года, описывается операция, которая действовала с января 2026 года, заразив более 116 000 систем и привлекая примерно от 2000 до 3000 новых жертв в день . Вредоносное ПО скрывается за поддельными модами, клиентами и инструментами для Minecraft, распространяемыми через YouTube и веб-сайты, созданные для отображения в результатах поиска.
Это не первый случай, когда Minecraft становится мишенью подобной атаки. В 2025 году мы сообщали о кампании, в ходе которой более 1500 игроков были заражены после установки поддельных модов с GitHub . Однако WeedHack представляет собой значительный сдвиг в масштабах, предлагая структурированный и легкодоступный сервис для взлома, разработанный для использования даже людьми без продвинутых технических навыков.
Вредоносное ПО, продаваемое как услуга
WeedHack — это не просто отдельный вредоносный файл. Это Malware-as-a-Service , то есть платформа, предоставляющая инструменты для взлома по подписке. По данным McAfee, этот сервис предлагал бесплатный план, доступный через простую учетную запись Discord, а платная версия начиналась примерно с 5 долларов в месяц .
Главное отличие от других подобных инструментов заключается в их доступности. В то время как некоторые аналогичные вредоносные программы требуют доступа к закрытым сетям или дорогостоящих подписок, WeedHack был доступен в обычном интернете, со всеми необходимыми функциями: обучающими материалами, панелью управления, системой ранжирования и даже системой рекомендаций. Цель была ясна: позволить любому пользователю создавать и распространять зараженные файлы, связанные с Minecraft.
Согласно опубликованной информации, на момент публичного раскрытия информации кампания привела к 116 464 заражениям . Компания McAfee также сообщает об обнаружении более 3820 вредоносных JAR-файлов и более 240 URL-адресов, используемых для распространения вредоносного ПО.
YouTube и Google раньше ловили игроков в ловушку.
WeedHack распространяется в основном по двум каналам: фейковые видеоролики на YouTube и мошеннические сайты, занимающие высокие позиции в поисковых системах.
В первом случае видеоролики представляют моды, клиенты или инструменты для Minecraft как легитимный контент. Некоторые видео достаточно качественно сделаны, чтобы выглядеть правдоподобно: демонстрации игрового процесса, озвучка, подробные описания, ободряющие комментарии и заметные ссылки для скачивания. Компания McAfee сообщает, что выявила как минимум одно видео, набравшее более 7500 просмотров, прежде чем оно было помечено как нарушающее правила.
Во втором случае злоумышленники используют метод, называемый SEO-отравлением . Веб-сайты имитируют страницы известных модов или клиентов для Minecraft, чтобы подняться в рейтинге поисковых систем. В отчетах упоминаются такие компании как Meteor , LiquidBounce , Wurst , Radium , Impact и Future Client .
Ловушка основана на очень распространенной привычке: быстро найти мод или клиент в Google, кликнуть на один из первых результатов, а затем скачать файл, не проверив, действительно ли он предоставлен разработчиком.
Многостадийная инфекция
После запуска WeedHack работает в фоновом режиме. Файл запускается без обязательного отображения видимого окна, а затем связывается с командным сервером для получения инструкций. Одной из примечательных технических особенностей является использование скрытого адреса через блокчейн Ethereum, что усложняет блокировку или удаление командной инфраструктуры.
Затем заражение происходит в несколько этапов. Сначала вредоносная программа пытается отключить некоторые средства защиты Windows Defender, собирает информацию о компьютере, а затем делает снимок экрана. Она также устанавливает механизмы обеспечения постоянного присутствия для автоматической перезагрузки компьютера.
В более полных версиях WeedHack добавляются компоненты удаленного управления. Это позволяет злоумышленнику получить доступ к экрану жертвы, файлам и, в некоторых случаях, к веб-камере.
Что может украсть WeedHack
Бесплатная версия WeedHack уже опасна. Она может получить доступ к сохраненным паролям, файлам cookie браузера, логинам в Discord, Steam и Telegram, данным, связанным с криптовалютными кошельками, и информации о зараженном компьютере. Она также может украсть идентификаторы сессий Minecraft , что позволит злоумышленнику получить контроль над учетной записью, не зная пароля.
В отчете также упоминается сбор данных из 36 браузеров , а также поиск криптовалютных кошельков и файлов, соответствующих определенным ключевым словам.
Платная версия добавляет более инвазивные функции: доступ к веб-камере, демонстрацию экрана с управлением клавиатурой и мышью, кейлоггер, доступ к командной строке, а также отправку и загрузку файлов. На практике это может позволить злоумышленнику отслеживать действия жертвы, получать доступ к документам или удаленно управлять компьютером.
Один из наиболее тревожных аспектов касается фактического использования вредоносного ПО. Компания McAfee поясняет, что наблюдала за Telegram-каналом, связанным с WeedHack, который на момент расследования насчитывал более 850 участников . Исследователи обнаружили, что пользователи, часто молодые люди, использовали инструменты удаленного управления не только для кражи учетных записей, но и для преследования других игроков.
По имеющимся данным, жертв записывали на веб-камеры без их ведома, а затем распространяли видео в Telegram-канале в качестве трофеев. Канал, о котором идёт речь, впоследствии был удалён, но, по данным McAfee, организаторы кампании продолжают использовать новые домены, когда поступают сообщения о старых.
Этот аспект меняет характер риска. WeedHack — это не только кража паролей или учетных записей Minecraft. Он также может использоваться для запугивания, угроз или унижения игроков, особенно несовершеннолетних.
Почему Minecraft часто становится мишенью
Minecraft остается привлекательной целью для такого рода атак, потому что его экосистема модов обширна, очень популярна и порой сложна для понимания юными игроками. Файлы .jar являются обычным явлением в мире Java, но они также могут выполнять вредоносный код. Для менее внимательного игрока грань между легитимным модом и вредоносным файлом не всегда очевидна.
Злоумышленники также используют в своих целях очень распространенные поисковые запросы: PvP-клиенты, модификации для повышения производительности, читы, альтернативные лаунчеры, пакеты или инструменты, представленные как необходимые. Этот контент часто распространяется через YouTube, Discord, форумы или неофициальные веб-сайты.
Таким образом, случай с WeedHack напоминает нам о простом правиле: опасность исходит не от самого Minecraft, а от файлов, загруженных вне надежных платформ.
Как избежать поддельных модов для Minecraft
Чтобы свести риски к минимуму, отдавайте предпочтение проверенным источникам, таким как Modrinth или CurseForge . На Minecraft-France мы всегда указываем эти ссылки в первую очередь для модов. К любым ссылкам, найденным в описании видео на YouTube, в комментариях или на неизвестном сервере Discord, следует относиться с осторожностью.
Ещё один тревожный сигнал — просьба отключить антивирус. Для корректной работы легитимного мода для Minecraft не требуется обходить Windows Defender. Если веб-сайт утверждает, что предупреждение является «ложным срабатыванием» без чётких доказательств, лучше не запускать файл.
Остерегайтесь сайтов, использующих имя известного клиента, но с адресом, отличным от официального проекта. Некоторые поддельные сайты добавляют ложные уведомления о безопасности, ссылки на Discord или упоминания GitHub, чтобы выглядеть легитимно.
Что делать, если был запущен подозрительный файл?
Если игрок подозревает, что запустил поддельный мод, ему необходимо действовать быстро. Первым шагом является выход из важных учетных записей на чистом устройстве, а затем смена паролей к важным аккаунтам : Microsoft, Discord, Steam, электронной почте, аккаунтам, связанным с платежными системами, и игровым платформам.
Также рекомендуется аннулировать активные сессии, когда это позволяет сервис, включить двухфакторную аутентификацию, а затем просканировать компьютер с помощью актуального антивирусного программного обеспечения. В случае шантажа, угроз или использования изображений с веб-камеры не отвечайте злоумышленнику и не вступайте с ним в переговоры. Сохраните все доказательства и сообщите доверенному взрослому или соответствующим органам.
Для родителей наиболее полезным часто является проверка привычек скачивания: откуда берутся модификации, какие сайты используются и почему файл запрашивает запуск вне известной платформы.
Новое сообщение для сообщества Minecraft.
WeedHack демонстрирует, как поддельные моды для Minecraft могут стать широко распространенными инструментами для взлома. Количество заражений, наличие панели управления, очень низкая цена платной версии и ее использование в целях преследования делают эту кампанию особенно тревожной.
