Стилер-крипер: приложение для кражи данных распространяют под видом модов и читов для Minecraft

Привет! На связи Илья Савин, ведущий аналитик департамента защиты от цифровых рисков (Digital Risk Protection) компании F6. Сегодня мы расскажем о новой угрозе, которую киберпреступники создали для пользователей Minecraft по всему миру, включая российских геймеров, и активно применяют в 2026 году. Ссылку на новое ВПО для Windows распространяют через короткие видео в TikTok, а для создания сетевой инфраструктуры злоумышленники активно использовали доменную зону .ru. Специалисты F6 раскрыли инфраструктуру киберпреступников и помогли заблокировать в зоне .ru 14 доменов, через которые распространители ВПО похищали данные пользователей.

Началось всё с того, что специалисты CERT F6 выявили в зоне .ru C2-сервер, используемый для доставки и управления вредоносным программным обеспечением (ВПО). Анализ показал, что речь идет о многоступенчатом инфостилере WeedHack (ранее известном как Majanito), который активно распространяется среди игроков Minecraft под видом поддельных модов для Fabric.

Моды для Fabric – модификации для Minecraft, специально разработанные для работы с загрузчиком Fabric Loader, который позволяет кастомизировать игру, добавляя новые функции, улучшая производительность или изменяя игровой процесс.

Злоумышленники продвигают вредоносные JAR-файлы через короткие видео в TikTok, где рекламируют «моды для дюпа» и другие читы.

Дюп – баг, который позволяет дублировать предметы и быстро получить неограниченное количество ценных ресурсов без честной добычи.

В распространении ссылок на вредоносные файлы под видом якобы полезных модов участвует сеть аккаунтов, управляемых злоумышленниками. Среди таких обнаруженных нами аккаунтов – @dupemodking, @mrgreedymaster и @dupernuker.

Ссылки размещены в описании к роликам и ведут на