Кампанію, яку назвали WeedHack, виявили дослідники з McAfee, які опублікували свої результати 2 червня. На момент оприлюднення звіту було зафіксовано 116 464 випадки зараження, повідомляє Dexerto.
Читайте также: В Україні запустили платформу автоматичних підписок на потреби конкретних бригад ЗСУ
Схема працювала з січня 2026 року, залучаючи від 2000 до 3000 нових жертв щодня. Більшість аналогічних інструментів для створення шкідливого ПЗ коштують від $250 до $500 на місяць і вимагають доступу до даркнету, тоді як для використання WeedHack потрібен був лише акаунт у Discord.
Шкідливе ПЗ поширювалося через фейкові туторіали на YouTube та сайти для завантаження із «отруєною» SEO-оптимізацією, які створювалися для того, щоб випереджати офіційні сторінки модів у пошуковій видачі. Жертвами атаки стали користувачі таких клієнтів, як Meteor, LiquidBounce та Wurst.
Після завантаження шкідливе ПЗ працювало непомітно у чотири етапи: підключалося до командного сервера, прихованого всередині блокчейну Ethereum (щоб уникнути блокування), вимикало Windows Defender, закріплювалося в системі, аби залишатися там після перезавантаження, і — для платних клієнтів — надавало зловмиснику прямий доступ до екрана, вебкамери та файлів жертви. Вартість преміумтарифу стартувала всього від $5 на місяць.
Читайте также: Українські розробники випустили першу демоверсію містобудівної стратегії Age After Age
Навіть безплатна версія сама по собі мала серйозний функціонал. Вона викрадала збережені паролі та файли cookie з 36 браузерів, облікові дані Discord і Steam, дані криптовалютних гаманців, а також ID-сесії Minecraft, які дозволяли зловмисникам захоплювати акаунти взагалі без пароля.
Чого дослідники McAfee точно не очікували знайти, так це те, як саме клієнти використовували цей інструмент. Моніторячи Telegram-канал кампанії, який налічував понад 850 учасників, вони зафіксували, що підлітки, судячи з усього, використовували інструменти віддаленого доступу не для крадіжки грошей, а для цькування однолітків — вони записували жертв через їхні вебкамери та викладали ці відео в канал. Відтоді Telegram-канал уже заблокували, а от саму хакерську кампанію — ні; її оператори активно запускають нові домени, щойно старі потрапляють до чорних списків.
Сервіс приймав Bitcoin та Litecoin, створював нову адресу гаманця для кожної транзакції, щоб уникнути відстеження, а також мав дошку побажань, де користувачі голосували за додавання функції «скримерів» та підтримки програм-вимагачів як за найочікуваніші оновлення.
Читайте также: Брат Залужного: подробности биографии, карьеры и семейной жизни