Кража данных аккаунтов через поддельные моды для Minecraft в TikTok
Инфостилер работает как многоступенчатая система загрузки вредоносных модулей в память без сохранения на диск, используя блокчейн Ethereum для устойчивости управляющих серверов https://securitymedia.org/news/stiler-kriper-prilozhenie-dlya-krazhi-dannykh-rasprostranyayut-pod-vidom-modov-i-chitov-dlya-minecra.html
Как работает многоступенчатая загрузка вредоносного кода в память
WeedHack использует архитектуру, которая обходит традиционные методы детекции. Первый этап — это обычный JAR-файл, который представляется модом для Minecraft с корректным манифестом Fabric . После запуска мод не выполняет заявленные функции, а сразу извлекает токен сессии Minecraft через вызовы getSession() и getAccessToken() .
Дальше начинается интересное. Загруженный код не сохраняет второй этап на диск. Вместо этого он скачивает модуль с управляющего сервера и загружает его напрямую в память через кастомный ClassLoader. Антивирусные решения, которые сканируют файловую систему, просто не видят угрозу её физически нет на носителе.
Я проверял подобные образцы в песочницах. Поведение выглядит безобидным: процесс Java запускается, сетевая активность есть, но никаких подозрительных файлов не создаётся. Это не баг детекции, это особенность архитектуры.
Почему блокчейн используют для управления вредоносными программами
Управляющие серверы — слабое место любой бот-сети. Домен заблокировали, IP внесли в чёрный список, и кампания останавливается. Разработчики WeedHack нашли обход.
В коде второго этапа зашито более тридцати публичных Ethereum RPC-эндпоинтов. Это не серверы злоумышленников, это общедоступные узлы сети, которые может использовать кто угодно. Через них вредонос обращается к смарт-контракту с функцией getText() (селектор 0xce6d41de). Контракт возвращает адрес реального C2-сервера, подписанный RSA-ключом.
Получается система с отказоустойчивостью уровня критической инфраструктуры. Заблокировать публичные узлы Ethereum невозможно — это всё равно что блокировать публичные DNS-серверы. Обновить адрес управляющего сервера можно одной транзакцией в блокчейне. Подпись гарантирует, что только владелец приватного ключа может менять конфигурацию.
Не знаю точно, насколько эта схема масштабируется на другие семейства малвари. Технически ничего не мешает, но требует компетенций в разработке смарт-контрактов и криптографии.
[√] Проверяйте подозрительные моды через онлайн-песочницы типа ANY.RUN или Triage они покажут сетевую активность даже если файл не детектируется
[ ] Не запускайте JAR-файлы из непроверенных источников даже если они выглядят как легитимные моды
[√] Используйте мониторы сетевой активности вроде Wireshark или встроенный Resource Monitor запросы к неизвестным доменам видны сразу
Какие данные крадёт инфостилер из игр и мессенджеров
Объём извлекаемой информации поражает. Базовая версия собирает токены сессий Minecraft и Discord, учётные данные из 40+ браузеров, ключи криптовалютных кошельков (56 расширений плюс десктопные клиенты).
Особый интерес представляет папка tdata мессенджера Telegram. В ней хранятся сессионные данные, которые позволяют получить доступ к аккаунту без повторной авторизации. Для злоумышленника это значит полный контроль: переписка, контакты, возможность рассылки фишинга от имени жертвы.
Премиум-версия за дополнительные $5 добавляет функционал удалённого доступа. Кейлоггер в реальном времени через Socket.IO, захват веб-камеры с частотой 25 кадров в секунду, демонстрация экрана, удалённое выполнение команд. Это уже не просто кража данных, это полный компрометация устройства.
Я обращал внимание на одну деталь в отчётах. Злоумышленники оставляют в коде отладочные строки вроде "Mod init state: M0" или "Resource state: S0" . Это не ошибка, это скорее привычка разработчика, которая иногда помогает аналитикам. Но полагаться на такие артефакты нельзя в следующих версиях их убирают.
Как вредонос обходит защиту антивирусов и системы контроля
Обфускация начинается на уровне строк. В первой версии использовался простой алгоритм: чередование массивов, подстановочная таблица, побитовые операции. Это обратимо, но требует времени на анализ.
Вторая версия перешла на нативную обфускацию через JNIC. Логика декодирования строк и загрузки модулей вынесена в DLL, которая извлекается из ресурсов JAR и загружается через System.load(). Java-декомпиляторы видят только заглушки с ключевым словом native. Реальный код требует дизассемблера вроде IDA Pro или Ghidra.
Добавлю наблюдение, которое не всегда озвучивают. Нативная обфускация усложняет анализ, но создаёт новые векторы детекции. DLL имеет характерную структуру, сигнатуры импортов, паттерны выделения памяти. Опытный аналитик найдёт зацепки.
Система автозагрузки использует планировщик задач Windows. Создаётся задача JavaSecurityUpdater с триггером ONLOGON и правами HIGHEST. Для обхода UAC применяется техника через cmstp.exe легитимный подписанный бинарник Microsoft, который можно злоупотребить для выполнения кода с повышенными привилегиями без видимого пользователю диалога.
После получения прав вредонос добавляет исключения в Windows Defender через Add-MpPreference -ExclusionPath. В отчётах фигурирует добавление всего каталога C:\Users в исключения. Это радикально, но эффективно: всё, что пользователь скачает или создаст, больше не сканируется.
Какие международные отчёты подтверждают угрозу для игроков
Исследователи безопасности по всему миру фиксируют похожие кампании. Bitdefender описывал Fractureiser — многоступенчатый инфостилер, распространяемый через скомпрометированные моды на CurseForge и Bukkit. Check Point Research документировал Stargazers Ghost Network сеть распространения вредоносных модов через GitHub с признаками русскоязычного разработчика.
Общая черта всех этих кампаний целевая аудитория. Это не корпоративные сети, не государственные структуры. Это игроки, часто несовершеннолетние, которые ищут преимущества в игре и не ожидают, что «чит» окажется трояном.
В отчёте 0xresetti отмечается эволюция WeedHack: от чистого Java-кода без защиты до нативной обфускации и блокчейн-инфраструктуры. Это показывает, что разработчики учатся на обратной связи от исследователей и адаптируются.
Где окажется баланс между усложнением вредоноса и доступностью инструментов анализа — неизвестно. С одной стороны, каждый новый уровень защиты требует больше времени на реверс. С другой автоматизация анализа растёт, появляются специализированные платформы для детекции JVM-малвари.
Что делать если вы скачали подозрительный мод для Minecraft
[√] Немедленно удалите файл и проверьте систему антивирусом с обновлёнными базами — даже если файл не детектируется, эвристические правила могут найти аномалии
[ ] Смените пароли от всех аккаунтов, которые могли быть скомпрометированы: Minecraft, Discord, Telegram, криптокошельки — токены сессий дают доступ без пароля
[√] Проверьте планировщик задач Windows на наличие подозрительных записей задача с именем вроде JavaSecurityUpdater должна насторожить
[ ] Просмотрите исключения Windows Defender через Get-MpPreference | select ExclusionPath если там появился широкий путь вроде C:\Users, это признак компрометации
Интерактивная проверка. Откройте командную строку и выполните schtasks /Query /FO LIST | findstr "Java". Если увидите задачу с подозрительным именем — это повод для глубокой проверки системы.
Ещё один тест. В браузере перейдите на dnsleaktest.com и запустите стандартный тест. Если в результатах появятся неизвестные вам провайдеры или локации — возможно, трафик перенаправляется.
Я не буду утверждать, что эти шаги гарантируют очистку. Если активировался премиум-модуль с удалённым доступом, простой смены паролей недостаточно. В таких случаях надёжнее переустановить систему.
Как отличить легитимный мод от вредоносной подделки
Открытый исходный код хороший признак. Проекты вроде Meteor Client публикуют код на GitHub, сообщество может проверить его на наличие бэкдоров. Если мод распространяется только в виде скомпилированного JAR без исходников красный флаг.
Проверка через VirusTotal помогает, но с оговорками. Новые образцы могут не детектироваться несколько дней, пока сигнатуры не обновятся. Песочницы вроде ANY.RUN покажут поведение, но требуют навыков интерпретации.
Сетевая активность — надёжный индикатор. Легитимный мод обычно не обращается к неизвестным доменам при запуске. Если вы видите запросы к receiver.cy, weedhack.cy или публичным Ethereum RPC-узлам без явной необходимости повод остановиться.
Сообщество игроков ресурс, который часто недооценивают. Если на форумах или в дискорд-каналах появляются сообщения о странном поведении после установки мода, это стоит проверить. Коллективный опыт иногда реагирует быстрее формальных отчётов.