Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB

LoaderClient маскируется под мод Minecraft и крадет токены

LoaderClient — это вредоносный загрузчик, связанный с кампанией WeedHack Malware-as-a-Service (MaaS), который маскируется под мод Fabric для Minecraft и нацелен прежде всего на игроков. По данным отчета, malware не только крадет данные сессии и Microsoft OAuth-токены, но и использует необычный механизм управления command-and-control (C2), основанный на Ethereum. Атака построена по двухэтапной схеме. На первом этапе LoaderClient собирает учетные данные пользователя и обращается к smart contract Ethereum, чтобы получить активный адрес C2. После этого он загружает второй этап напрямую в память жертвы. Второй этап, по информации из отчета, скомпилирован с использованием Java Native Interface Compiler (JNIC) version 3.7.0. Это позволяет скрыть логику внутри нативного кода и затрудняет обнаружение стандартными средствами анализа. Одной из наиболее заметных особенностей LoaderClient стала техника EtherHiding. Вредоносное ПО использует smart contract Ethereum для динамического получения URL-ад
Оглавление

LoaderClient — это вредоносный загрузчик, связанный с кампанией WeedHack Malware-as-a-Service (MaaS), который маскируется под мод Fabric для Minecraft и нацелен прежде всего на игроков. По данным отчета, malware не только крадет данные сессии и Microsoft OAuth-токены, но и использует необычный механизм управления command-and-control (C2), основанный на Ethereum.

Как работает LoaderClient

Атака построена по двухэтапной схеме. На первом этапе LoaderClient собирает учетные данные пользователя и обращается к smart contract Ethereum, чтобы получить активный адрес C2. После этого он загружает второй этап напрямую в память жертвы.

Второй этап, по информации из отчета, скомпилирован с использованием Java Native Interface Compiler (JNIC) version 3.7.0. Это позволяет скрыть логику внутри нативного кода и затрудняет обнаружение стандартными средствами анализа.

  • сбор отображаемых имен и токенов доступа Microsoft OAuth;
  • получение C2 через smart contract Ethereum;
  • загрузка payload полностью в memory;
  • обход проверки SSL;
  • использование DNS-over-HTTPS для resolution доменных имен.

EtherHiding и устойчивость инфраструктуры

Одной из наиболее заметных особенностей LoaderClient стала техника EtherHiding. Вредоносное ПО использует smart contract Ethereum для динамического получения URL-адреса C2, что повышает устойчивость кампании к блокировкам и попыткам удаления инфраструктуры.

Даже если порталы распространения будут ликвидированы, операторы могут продолжать использовать уже развернутые вредоносные коды. Именно поэтому адрес contract Ethereum, используемый для определения C2, рассматривается как устойчивый indicator of compromise.

«Опора на infrastructure Ethereum позволяет атакующим сохранять работоспособность кампании даже после удаления внешних ресурсов распространения».

Масштаб кампании и методы распространения

С начала 2026 года операции WeedHack, как указано в отчете, привели к более чем 116 000 уникальных компрометаций host. Основная цель кампании — сообщество Minecraft, где злоумышленники активно используют social engineering.

Для привлечения жертв применяются:

  • продвижение на YouTube;
  • SEO poisoning;
  • маскировка под легитимные моды;
  • эксплуатация доверия пользователей к популярным игровым toolchain и community-ресурсам.

После заражения пользователь, как правило, не замечает запуска вредоносной нагрузки и фактически сам выполняет действия, которые открывают атакующим доступ к данным и системе.

Чем опасно заражение

По данным отчета, потенциальные возможности LoaderClient выходят далеко за рамки кражи учетных данных. Среди рисков упоминаются:

  • доступ к webcam;
  • кража учетных данных;
  • масштабное наблюдение за жертвой;
  • использование данных для harassment или extortion в игровом сообществе.

Отдельно подчеркивается, что подобные кампании нередко используют сверстники жертв внутри gaming-среды для давления, преследования или вымогательства.

Техники уклонения от анализа

Техническая сложность LoaderClient проявляется в наборе механизмов, предназначенных для противодействия forensic analysis и security tools. В отчете отмечаются:

  • custom string obfuscation;
  • использование zip-bomb для перегрузки инструментов анализа;
  • скрытие логики во втором этапе через JNIC;
  • обход SSL validation;
  • получение доменных имен через DNS-over-HTTPS.

Такие приемы позволяют вредоносному ПО выглядеть как обычный мод для Minecraft и обходить предупреждения безопасности, которым пользователи зачастую доверяют.

Рекомендации по защите

Авторы отчета подчеркивают, что защита от LoaderClient требует многовекторного подхода. Организациям и пользователям рекомендуется:

  • блокировать ненужный traffic к Ethereum RPC;
  • тщательно мониторить Java processes в инфраструктуре;
  • ограничивать загрузку неофициальных модов для Minecraft;
  • проводить active rotation учетных данных после любой предполагаемой компрометации;
  • использовать устойчивые indicators of compromise, включая address contract Ethereum.

Постоянная активность WeedHack показывает, что угроза остается актуальной и требует не только базовой кибергигиены, но и продвинутых методов detection и continuous monitoring.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "LoaderClient маскируется под мод Minecraft и крадет токены".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: MAX | VK | Rutube | Telegram | Дзен | YouTube.