Хакеры продавали доступ к камерам 116 тысяч игроков Minecraft через фальшивые моды

Исследователи McAfee обнаружили необычный проект: вредонос под названием WeedHack был структурирован как полноценный сервис с фриму-версией, системой рейтинга и каналом в Telegram с функцией голосования за новые фичи. По данным защитников, к моменту публикации отчёта на 2 июня сервис заразил 116 464 игрока. Операция стартовала в январе 2026 года и росла темпом 2–3 тысячи новых жертв в день.

Для сравнения: большинство аналогичных наборов инструментов для хакинга стоят $250–500 в месяц и требуют доступа на даркнет. WeedHack решил всё просто — нужна только учётная запись Discord. Эта демократизация악инга привела к масштабам, которые сложно переоценить.

Как распространялся вирус

Малвер распространялся через поддельные видеоуроки на YouTube и сайты, специально оптимизированные для выведения в выдачу поисковиков. Жертвы искали моды вроде Meteor, LiquidBounce и Wurst — известные клиенты для PvP и качества жизни в Minecraft — и попадали на заражённые страницы вместо легитимных источников.

Четырёхступенчатая заражение

После скачивания вредонос действовал в четыре этапа:

1. Скрытое подключение — команды отправлялись через сервер, спрятанный внутри блокчейна Ethereum. Такой трюк осложнял блокировку операции со стороны защиты.

1. Отключение Windows Defender — естественная защита системы становилась препятствием и нейтрализовалась.

1. Встраивание в систему — вирус настраивался на выживание после перезагрузок.

1. Мониторинг (для платных подписчиков) — за $5 в месяц хакеры получали прямой доступ к экрану жертвы, её веб-камере и файлам.

Бесплатная версия тоже наносила урон. Она собирала сохранённые пароли и cookies из 36 браузеров, учётные данные Discord и Steam, данные криптокошельков и Minecraft session ID — последнее позволяло перехватить аккаунт игрока без пароля.

Неожиданный поворот

Самое грустное в исследовании McAfee — это то, что они обнаружили в Telegram-канале сервиса, где собралось более 850 участников. Оказалось, что хакеры закупают доступ не столько для краж денег, сколько для травли. Подростки использовали функцию удалённого доступа, чтобы записывать видео через вебкамеры жертв и выкладывать в чат. Канал уже удалили, но сам сервис продолжает работать — операторы разворачивают новые домены по мере того, как старые попадают в чёрные списки.

Технические детали

Сервис принимал платежи в Bitcoin и Litecoin, генерировал новый адрес кошелька для каждой транзакции (усложняло отслеживание) и поддерживал доску голосования за фичи. Пользователи голосовали за внедрение jump scare-эффектов и поддержку программ-вымогателей как приоритетные улучшения.

Это не первый раз, когда скачивание модов служит троянским конём для кражи данных. В прошлом году из Steam удалили хоррор-игру, которая воровала пароли и данные браузера, а Minecraft-игроки уже сталкивались с похожей кампанией через фальшивые читы для модов.