WeirdUtils | Malicious code in mods for SkyBlock, etc.

pigeonov · Aug 24, 2023

Pigeon Development | Высококачественное создание серверов Minecraft

WeirdUtils

WeirdUtils - это семейство продвинутых вредоносных программ, нацеленных в основном на игроков в игровой режим SkyBlock от Hypixel (ЭТО НЕ ОЗНАЧАЕТ, ЧТО ОНИ НАЦЕЛЕНЫ ТОЛЬКО НА SKYBLOCK).
За два года множество людей установили файлы, зараженные WeirdUtils. На момент публикации этой статьи WeirdUtils не обнаруживается основными антивирусами. Известные моды выдают себя за проекты с открытым и закрытым исходным кодом и добавляют вредоносное ПО.

Документация в процессе разработки, ничего не готово

Мы обнаружили моды, использующие многоступенчатый процесс заражения пользователей программой WeirdUtils. Сначала загружается зашифрованный файл Pastebin. Он расшифровывается в url, используемый для загрузки JAR-файла, который после расшифровки (дважды) содержит код для кражи паролей/токенов из следующих источников:

Google Chrome
Opera
Discord Stable
Discord Canary

Текущая версия вредоносной программы была обезврежена на Pastebin 19 августа 2023 года в 9:08 pm CDT, а третья стадия была обезврежена на GitHub примерно 21 августа 2023 года. Однако разработчики вредоносной программы могут выпустить обновления для ее повторной загрузки.

Как узнать, заражен ли я?

Вы можете использовать инструмент обнаружения UtilsDetector, чтобы определить, есть ли на вашем компьютере зараженные jar-файлы. Поскольку эта вредоносная программа не распространяется, зараженных файлов должно быть не так много.

Обновленные версии вредоносной программы могут быть не обнаружены ни одним из инструментов; будьте осторожны.

UtilsDetector VT: https://www.virustotal.com/gui/file/4c7441492f483fa46e251ae49ca66c50648b13e4897e80dd763b0d2686f2d06d

Я заражен. Помогите!

Если вы обнаружили, что заражены, считайте, что все учетные записи, сохраненные в браузерах, а также учетная запись Discord и учетная запись Minecraft скомпрометированы.

Убедитесь, что вредоносная программа полностью удалена из вашей системы, после отправки jar через средство обнаружения.
Смените пароли для всех этих учетных записей, а также для всех других учетных записей, использующих такие же или похожие пароли.

Doklsi · Aug 24, 2023

Эта хуйня не только в модах распространялась, летом 2022 впервые нашёл джарку как раз таки с этой залупой, тут скорее к вирусологии относится больше, чем к майну

Харизма · Aug 24, 2023

пигеонов молодец!!!!!!!!!!

dima20 · Aug 30, 2023

Молодец,спасибо

Is there a mod to improve optimization?

Advise the assembly to put on the server and play with friends

Is there a fashion horror on the phone?

Optimization 1.19.2 | +90 FPS

Which one can advise the assembly with mods for the vanilla game?

Technical assembly on new versions

Build Immortal [1.20.1] (Drain from Busty)

Build 1.5 Lost Souls + Server [1.20.1] (Drain from Busti)

Not a pve cheat

Dick Lost Souls 1.5.1

FreshCraft + 2 DLC [1.20.1] (Drain from Busti)

GumballOff Visuals Beta (Crack | 1.16.5 Forge)

Maud on webcam minecraft 1.21.1 fabric

Is there a mod for a crop carrier for 1.12.2?

Which java download to install Optifaine

Advise the assembly like All the Mods 10

[1.15.2] Mine and Slash - RPG Mod

Does anyone have a CELESTIA assembly?

[1.20.1+] STATUS Effect Bars Reforged - improved effects of effects

Celestia 2.7 | The best fashion assembly in the world

Какую джаву скачать?

Immortal 1.8.1 (1.20.1) Diamond

Narkoman - heroin mod

Custom Cursor - Peckr cursor right in the game

Advise the assembly

[1.20.1+] Myths & Legends

Minecraft assembly Enigma 1.3 + server

[1.25.1] Advanced Vanilla

[1.19.2+] Decorative Storage

TerrafirMadventure assembly drain

WeirdUtils | Malicious code in mods for SkyBlock, etc.