Под видом модов и читов для Minecraft распространяется стилер WeedHack
Под видом модов и читов для Minecraft злоумышленники распространяют вредоносное приложение WeedHack для Windows, предназначенное для кражи данных пользователей, доступа к криптокошелькам и аккаунтам в Telegram, сообщили SecPost в компании F6.
Ссылки на вредоносные файлы распространяются через короткие видео в TikTok. После запуска файл на устройстве пользователя действительно работает как мод для Minecraft, маскируя вредоносную активность. Одновременно с этим, как отмечают аналитики, он загружает дополнительные модули с управляющих серверов (C2) и выполняет произвольный код через скрытые механизмы автозапуска.
Уточняется, что стилер похищает конфиденциальные данные, включая учётные данные из более чем 40 браузеров, токены сессий Minecraft, токены Discord и данные криптокошельков (56 браузерных расширений, а также ряд десктопных кошельков). Кроме того, с его помощью злоумышленники могут получить доступ к папке tdata Telegram, где хранятся зашифрованные данные сессии, что позволяет войти в аккаунт без ввода кода авторизации. В продвинутой версии вредоносного ПО предусмотрены возможности, превращающие его в троян удалённого доступа (RAT).
Злоумышленники распространяют WeedHack по модели Malware-as-a-Service (MaaS). Аналитики F6 установили связь ВПО с доменами и IP-адресами. Из 20 задействованных ресурсов 14 доменов в зоне .RU использовались как управляющие серверы, веб-панель для управления вредоносным ПО, а также находились в резерве.
По обращению CERT F6, как отмечается в сообщении, все 14 доменов в зоне .RU были заблокированы. Также направлено обращение в полицию Кипра для блокировки доменов в зоне .CY, которые эксплуатируются в качестве веб-панели ВПО. Помимо этого, как добавили в компании, поданы жалобы на файлообменники, через которые распространяются вредоносные JAR-файлы, и в техподдержку TikTok с требованиями удалить записи, содержащие вредоносные ссылки.
В компании также приводят рекомендации для пользователей Minecraft: проверять репутацию модов из неофициальных источников через поисковики, а ссылки — через публичные песочницы; с осторожностью относиться к модам, рекламируемым через короткие видео в соцсетях; не переходить по подозрительным ссылкам и использовать антивирусное ПО с актуальными базами данных.
Читайте также
