«Уютный Minecraft без гриферов» — обещал сервер. Дети скачали моды, родители получили стилер и шантаж на $300

За обещанием безопасного Minecraft-сервера для детей и подростков скрывалась опасная преступная схема. Под видом уютного сообщества без гриферов пользователям предлагали установить обязательный набор модов для входа на сервер. Вместе с таким модпаком на компьютер попадал стилер, который крал пароли, токены, данные браузеров, содержимое Discord и информацию о криптокошельках. После заражения часть жертв не только теряла доступ к аккаунтам, но и сталкивалась с шантажом.

В центре расследования оказался сервер SugarSMP. На сайте все выглядело правдоподобно: описание спокойной игры без токсичности, скриншоты построек, отзывы, FAQ, страница с администрацией, ролики и даже стабильный онлайн. Для человека, который просто хочет найти нормальный сервер без гриферов, картина выглядела вполне убедительно. Именно на такую аудиторию, судя по всему, и был рассчитан проект.

Первые сомнения появились после жалобы, которую получили модераторы Reddit. Кто-то попытался добиться удаления предупреждения о вредоносных файлах, размещенного в одном из сабреддитов. Просьба пришла не от нового подозрительного аккаунта, а от старого пользователя с хорошей репутацией и многолетней историей. На этом этапе история выглядела неоднозначно: с одной стороны, сайт казался нормальным, с другой - кто-то настойчиво пытался зачистить публичные обвинения в распространении малвари.

После этого исследователи решили проверить SugarSMP внимательнее. Один из первых странных признаков касался онлайна. Сервер почти постоянно показывал примерно 35-45 игроков. Для живого сообщества такая ровная картина выглядит неестественно. У реального сервера число игроков обычно заметно падает ночью и растет в свободное время. Здесь же колебания были слишком аккуратными и почти не менялись.

Дальше посмотрели, как именно устроено подключение. В разделе FAQ говорилось, что сервер работает на Fabric 1.21.4 и требует полный набор модов. При попытке подключения игрока действительно отправляли на страницу загрузки модпака. Сам по себе такой шаг не выглядит подозрительным: Fabric и правда требует совпадения клиентских модов с серверными. Но именно эта техническая особенность очень удобна для злоумышленников. Пользователю легко объяснить, почему без скачивания файла зайти на сервер нельзя.

Чтобы проверить, что именно сообщает игровой сервер, исследователи использовали протокол Server List Ping. Через него клиент получает базовую информацию о сервере Minecraft: версию, название, число игроков, сообщение дня и часть параметров безопасности. Ответ показал Paper 1.21.4, протокол 769, 40 игроков из 120 возможных и включенный Secure Chat. Значит, подозрительно ровный онлайн действительно выдавал сам сервер, а не только сайт. Но и такой ответ не доказывал, что счетчик честный: сервер мог подставлять нужные цифры сам.

Следующим шагом стала проверка домена через VirusTotal и обычные OSINT-методы. На раннем этапе это почти ничего не дало. Более важный след нашелся в Reddit. Еще 27 февраля пользователь опубликовал предупреждение, где рассказал, что после установки модов SugarSMP у него украли данные и аккаунты, а затем начали вымогать 300 долларов под угрозой публикации личной информации. Уже 7 марта владелец SugarSMP пытался добиться удаления такого поста через модераторов. Такой временной интервал оказался важен для всего расследования.

Исследователи связались с автором предупреждения. Тот рассказал, что получил приглашение в Discord от человека, который позвал его на сервер и прислал ссылку на модпак. После распаковки ZIP-архива в CurseForge список модов выглядел почти обычным: в основном там были моды на производительность. Но при запуске установки на экране внезапно появилось сообщение о компрометации компьютера в духе вымогателя. Пользователь сумел закрыть окно через Alt+F4, однако вскоре злоумышленник написал ему в личные сообщения и заявил, что уже получил все пароли и личные данные. По словам жертвы, контроль над ноутбуком сохранялся до тех пор, пока устройство не отключили от Wi-Fi. Далее последовало требование заплатить 300 долларов. Денег пользователь не отправлял, а просто сменил пароли и сбросил систему.

Жертва передала исследователям два скриншота, которые по понятным причинам не стали публиковать. На одном было сообщение Discord с текстом YOUR COMPUTER WAS COMPROMISED. На другом - типичная сводка стилера для оператора: число украденных куки, паролей, банковских карт и данных автозаполнения, сведения об ОС, антивирусе, HWID, IP-адресе и снимок рабочего стола жертвы. Из этих данных следовал важный вывод: между 26 февраля, когда произошло заражение, и 7 марта, когда владелец сайта уже просил удалить предупреждение, вредоносные файлы на сайте успели заменить на чистые. Иначе жалобу на Reddit было бы слишком просто проверить.

Дальше помог веб-архив. В ранней февральской копии Wayback Machine исследователи нашли старые ссылки на файлы SugarSMP-1.0.zip, SugarSMP-ModPack.zip и SugarSMP 1.0.0.mrpack, размещенные прямо на sugarsmp(dot)com. На момент анализа как минимум два файла еще можно было скачать из архива. Именно эти старые версии и показали, что происходило на самом деле до того, как сайт успели зачистить.

Разбор SugarSMP-1.0.zip быстро выявил несоответствие. Формат модпаков CurseForge обычно устроен просто: в manifest.json перечисляются ID легитимных проектов, а сама платформа затем скачивает и проверяет моды при установке. Такой архив не должен занимать десятки мегабайт. Но SugarSMP-1.0.zip весил больше 20 МБ. Уже один этот размер намекал, что внутри лежит не просто список модов.

В manifest.json действительно были перечислены 15 нормальных модов с проектными ID CurseForge, в том числе Fabric API, Sodium, Iris Shaders и Simple Voice Chat. На этом уровне все выглядело безобидно. Но у CurseForge есть каталог overrides, содержимое которого просто копируется в папку игры без проверки целостности. Именно там и оказался главный сюрприз.

В каталоге overrides/mods/ лежал файл appleskin-fabric-mc1.21.3-3.0.6.jar. По названию он маскировался под легитимный мод AppleSkin от squeek502, который в обычной версии лишь улучшает отображение информации о еде в интерфейсе. Внутри действительно находились настоящие классы AppleSkin, и мод продолжал работать как обычно. Но в одном из классов, DebugInfoHandler.class, исследователи обнаружили внедренный код.

Схема была построена аккуратно. При запуске Minecraft загрузчик Fabric вызывает метод AppleSkin.onInitializeClient(), а дальше управление переходит в DebugInfoHandler.init(). Именно в эту цепочку и был встроен вредоносный вызов. Один из методов сохранял путь к JAR-файлу, чтобы использовать его позже для закрепления. Затем другой метод запускал малварь в отдельном фоновом потоке. Для жертвы такой подход удобен злоумышленнику сразу по двум причинам: игра и мод продолжают работать нормально, а вредоносный код выполняется тихо, не ломая запуск и не вызывая лишних подозрений.

Основная вредоносная логика находилась в пакете org.spark, поэтому исследователи назвали семейство Spark stealer. Код дополнительно скрыли с помощью обфускатора. Зашифрованные строки превращались в символы Unicode из блока Брайля, а местами код даже содержал точечные ASCII-рисунки. Один из них складывался в изображение Шрека. Под этой декоративной маскировкой скрывались ссылки на каналы вывода украденных данных через Discord и GoFile.

Вредонос использовал три отдельных канала для разных типов сообщений: один для основной эксфильтрации, один для ошибок и один для данных о криптокошельках. В изученном образце, впрочем, все сообщения уходили в один и тот же канал. По метке времени Discord удалось установить, что такой канал создали 4 февраля 2026 года примерно за два часа до первого появления образца на VirusTotal. Значит, между созданием инфраструктуры и раздачей вредоносного модпака прошло совсем немного времени.

По функциям Spark stealer оказался вполне полноценным стилером, а не примитивной поделкой. Он крал Discord-токены, сессии Telegram Desktop, данные расширений браузеров для криптокошельков, локальные криптокошельки, учетные данные из Chromium- и Gecko-браузеров, а также Steam. Кроме того, код обращался к API некоторых сервисов, чтобы получить сведения о сессиях, профилях, аналитике и балансах, в том числе в TikTok и Roblox. Такой набор показывает, что злоумышленников интересовали не только пароли, но и любые данные, которые можно быстро монетизировать или использовать для дальнейшего давления на жертву.

Конфигурация вредоноса хранилась в ConfigFeatures.class. В исследованном образце часть модулей была отключена, а основными активными функциями оставались кража браузерных данных, Discord-токенов и внедрение в клиент Discord. Вредонос также содержал сканер ключевых слов. Он проверял украденные учетные данные, куки и URL на наличие интересующих злоумышленников слов. В списке были Pornhub и OnlyFans, что выглядит как подготовка к возможному шантажу через раскрытие приватной активности. Там же встречались GitHub, Replit, Hostinger, Cloudflare и OVHcloud, то есть стилер явно искал еще и доступ к аккаунтам разработчиков, облачным сервисам и хостинг-панелям.

Отдельный модуль отвечал за модификацию Discord. В корне зараженного JAR-файла лежал файл injection.b64 с закодированным JavaScript. Вредонос записывал этот код в discord_desktop_core/index.js, который загружается настольным клиентом Discord при запуске. После деобфускации исследователи увидели, что такой скрипт отправляет злоумышленникам сведения о привязанных способах оплаты, список друзей, значки, участие в серверах, роли и дату создания аккаунта. Кроме того, код следил за исходящими запросами Discord и перехватывал токены, логины и пароли, коды двухфакторной аутентификации и события входа или смены пароля.

Для шаблонов эксфильтрации и основной стилер, и вредоносный код внутри Discord использовали 25 кастомных эмодзи. Деталь сама по себе второстепенная, но она хорошо показывает, что авторы выстроили для себя довольно удобную систему приема и просмотра украденных данных.

С технической стороны важен и способ кражи браузерных секретов. Поскольку Spark stealer написан на Java, а пароли браузеров обычно защищаются системными и прикладными криптографическими механизмами, вредонос использовал Java Native Access для вызова Windows API и функций библиотек вроде nss3.dll. Среди таких вызовов фигурировали CryptUnprotectData, BCryptDecrypt, NSS_Init и PK11SDR_Decrypt. Для защиты это полезная зацепка: обычному Minecraft-моду не нужен доступ к браузерным криптографическим API.

Закрепление в системе строилось сразу в несколько слоев. Первый уровень очевиден: каждый запуск Minecraft с зараженным AppleSkin автоматически запускает и вредонос. Второй уровень связан с Discord: модифицированный index.js продолжает работать после перезапуска клиента и исчезает только после полной переустановки приложения. Третий уровень обеспечивал автозапуск через планировщик заданий. Вредонос брал путь к исходному JAR-файлу, создавал каталог в AppData\Local\Microsoft\Windows, копировал туда самого себя под именем FileExplorer.jar и создавал задачу ExplorerStartup, которая запускала этот JAR. После этого стилер мог стартовать независимо от Minecraft и Discord.

Но техническая часть была только половиной схемы. Не менее важной оказалась репутационная оболочка вокруг SugarSMP. Злоумышленники не ограничились сайтом и модпаком. Они пытались создать вокруг проекта видимость живого и безопасного сообщества. В поиске находились сайты-каталоги Minecraft-серверов, где SugarSMP называли лучшим сервером 2026 года. На YouTube висел якобы прямой эфир с игрой на сервере. При этом содержимое такого стрима выглядело бессмысленно и напоминало скорее декорацию для поисковой выдачи, чем реальный эфир.

Самое интересное произошло дальше. Аккаунт Reddit, который просил удалить предупреждение о вредоносных файлах, тоже оказался частью этой истории. Позже исследователи выяснили, что владелец такого аккаунта раньше разрабатывал популярные моды для игр в Steam. Проверка официального Discord-сервера его сообщества показала, что аккаунт был взломан. Когда исследователи связались уже с новым аккаунтом этого человека в Discord, тот подтвердил потерю старых Reddit-, Google- и Discord-аккаунтов. Сам он тоже оказался жертвой мошенников, просто через другой сценарий. Получается, злоумышленники использовали уже украденные и авторитетные учетные записи, чтобы добиваться удаления предупреждений и укреплять доверие к своей легенде.

После этого исследователи начали искать похожие сайты по характерной лексике. По словам вроде cute и cozy быстро нашлась целая сеть почти одинаковых Minecraft-ресурсов. Часть из них выглядела как прямые клоны SugarSMP, часть отличалась более розовым или "кошачьим" оформлением, но логика оставалась той же: уютное сообщество, обязательная загрузка файлов и внешне безобидная подача. Для проверки был написан обходчик сайтов, который скачивал файлы со всех найденных доменов. Ни один из них не раздавал именно Spark stealer, но почти все рабочие ссылки вели на другие стилеры. В основном это были Electron-приложения на JavaScript. Два образца тоже оказались JAR-файлами, но с другой реализацией. Еще часть ссылок вела на загрузчики для стилеров, размещенных на GitHub.

Случай с SugarSMP показателен еще и потому, что расследование удалось довести до конца только благодаря архивной копии сайта и файлов. К моменту проверки с основного домена уже раздавались чистые модпаки. Для злоумышленников такой ход очень удобен: сначала заразить игроков, потом быстро заменить полезную нагрузку на безобидную и параллельно попытаться удалить все публичные предупреждения. По словам авторов разбора, такая тактика давно не редкость. Операторы малвари пытаются оспаривать детекты, добиваться возврата сертификатов, давить на площадки и убирать чужие предупреждения именно потому, что такая зачистка иногда срабатывает.

Для пользователей практический вывод здесь довольно прямой. Если сервер Minecraft требует установить модпак с собственного сайта, особенно вне привычных платформ, к такой загрузке стоит относиться как минимум настороженно. Наличие красивого сайта, скриншотов, отзывов, роликов и даже "живого" онлайна ничего не гарантирует. В истории с SugarSMP вся витрина была выстроена именно для того, чтобы игрок как можно меньше сомневался перед загрузкой.

Тем, кто мог установить зараженные моды SugarSMP, исследователи советуют действовать решительно. Нужно переустановить Discord, удалить задачи планировщика, которые запускают JAR-файлы, и проверить систему актуальным антивирусом. После этого следует завершить все сессии в браузерах и Discord, перевыпустить резервные коды двухфакторной аутентификации в Discord и проверить раздел Authorized Apps. Все пароли, которые могли храниться в браузерах или использоваться на зараженной системе, нужно сменить. Если на устройстве были криптокошельки, средства стоит перевести на новые адреса, а старые seed-фразы больше не использовать.