Специалисты CERT F6 зафиксировали C2-сервер в зоне .ru и провели обратную разработку цепочки заражения. В центре схемы — многоступенчатый инфостилер WeedHack (ранее Majanito), который активно распространяется в 2026 году через TikTok: короткие видео рекламируют «моды для дюпа» и читы для Minecraft, ссылки в описаниях ведут на вредоносные JAR-файлы, замаскированные под Fabric-моды. После установки программа подтягивает дополнительные модули с C2-серверов и приступает к сбору данных.
Контекст
F6 — российская компания в области кибербезопасности, специализирующаяся на защите от цифровых рисков. Именно их департамент Digital Risk Protection первым засёк аномальный трафик в зоне .ru и раскрутил цепочку до конкретных TikTok-аккаунтов (@dupemodking, @mrgreedymaster, @dupernuker) и файлообменников, через которые распространяются вредоносные JAR.
Minecraft — одна из самых массовых игр в мире. Экосистема модов огромная: Fabric Loader, Forge, сотни тысяч модификаций. Игроки привыкли скачивать .jar-файлы с разных ресурсов, не проверяя их происхождение. Это и делает игровое сообщество удобной мишенью: порог доверия высокий, технической экспертизы у большинства нет.
WeedHack продаётся по модели Malware-as-a-Service (MaaS): покупатель получает персонализированный JAR со встроенным UUID для отслеживания жертв через веб-панель управления. Два тарифа — базовый (инфостилер) и премиум (полноценный RAT с кейлоггером через Socket.IO, захватом экрана в 720p и трансляцией с веб-камеры в 25 кадров в секунду).
Аналитика
MaaS-модель — один из определяющих трендов в криминальном ИТ. Злоумышленникам больше не нужно писать код: они арендуют готовую инфраструктуру так же, как легальные стартапы арендуют SaaS. WeedHack поддерживает кражу данных из более чем 40 браузеров, 56 браузерных расширений для криптокошельков (MetaMask, Phantom, Coinbase, Trust Wallet), популярных Minecraft-лаунчеров (Lunar Client, Feather, Modrinth App), Discord и папки tdata Telegram. Это не узкоспециализированный стилер — универсальный сборщик цифровых активов.
TikTok как вектор доставки — характерная черта 2025–2026 годов. Алгоритм коротких видео быстро находит целевую аудиторию геймеров, ссылка в описании ролика воспринимается как легитимная. Платформы медленно реагируют на жалобы, давая злоумышленникам окно активного сбора жертв в несколько недель.
Инфраструктура в зоне .ru позволила CERT F6 действовать быстро — 14 доменов из 20 заблокированы. Параллельно направлены обращения на Кипр (зона .cy) и в техподдержку TikTok. Хороший пример скоординированного реагирования — но подобные кампании воспроизводятся стремительно: домены меняются, инфраструктура переезжает, видео перезаливаются под новыми аккаунтами.
«Базовая версия WeedHack: кража учётных данных из более чем 40 браузеров, перехват сессий Minecraft, извлечение токенов Discord, сбор криптовалютных кошельков, папка tdata Telegram, скриншоты экрана и поиск файлов по ключевым словам» — из технического отчёта F6.
Кейсы применения в бизнесе
B2B-SaaS стартап: Разработчики и QA-инженеры нередко играют в Minecraft на тех же машинах, с которых заходят в корпоративный GitHub, Notion, Google Workspace. Скомпрометированный браузерный профиль — прямой путь к production-окружению. Шаги: политика разделения рабочих и личных профилей в браузерах, запрет установки сторонних JAR на машины с доступом к корпоративным ресурсам.
Корпорация с legacy-инфраструктурой: Ключевой риск — сотрудники, хранящие корпоративные пароли в браузере Chrome на том же ПК, где играют члены семьи. WeedHack расшифровывает сохранённые пароли через DPAPI без прав администратора. Внедрение менеджеров паролей и аппаратных ключей 2FA существенно снизит ущерб даже при полной компрометации машины.
SMB и локальный бизнес в КР/СНГ: Небольшие компании редко имеют политики в отношении личных устройств. Если сотрудник с доступом к корпоративному банкингу или криптовалютному кошельку компании параллельно скачивает игровые моды — компания в зоне риска. Минимальный шаг прямо сейчас: инструктаж команды и антивирус с актуальными базами на каждой машине с доступом к финансам.
Кейсы в личной жизни
Геймер и стример: Прямая мишень атаки. Токены Minecraft-аккаунта, Discord-токены (включая Nitro), закладки браузера — всё уходит на C2 в первые минуты. Правило одно: моды — только с Modrinth или CurseForge, никаких JAR из описаний TikTok и Telegram-каналов.
Криптоэнтузиаст: WeedHack целенаправленно ищет Exodus, Atomic, Electrum и браузерные расширения MetaMask, Phantom, Coinbase. Если seed-фраза или файл кошелька хранится на той же машине — активы под угрозой. Аппаратный кошелёк — единственная надёжная защита от подобного класса атак.
Студент: Один браузер для учёбы, почты и игр — типичная картина. Скомпрометированный профиль означает утечку всех сохранённых паролей: аккаунт университета, почта, соцсети. Разделение профилей и 2FA везде, где она доступна, — минимально необходимый уровень защиты.
Как применить сегодня
- Скачивайте Minecraft-моды только с Modrinth или CurseForge — платформ с модерацией. Никаких JAR из описаний TikTok, YouTube или Telegram.
- Перед установкой любого JAR-файла из сторонних источников проверяйте его хэш через публичные песочницы типа VirusTotal.
- Включите двухфакторную аутентификацию на всех аккаунтах: Minecraft, Discord, Google, Telegram, GitHub.
- Не храните seed-фразы криптокошельков в браузере или текстовых файлах на рабочем столе — используйте аппаратный кошелёк или зашифрованный менеджер паролей.
- Разделите рабочий и личный браузерные профили, особенно если работаете с корпоративными ресурсами или финансами компании.