Кампания за борба със зловреден софтуер WeedHack
Изследователи по киберсигурност разкриха сложна кампания за зловреден софтуер, насочена към играчите на Minecraft, използваща YouTube и манипулиране на търсачките, за да зарази потребителите със зловреден софтуер, способен да поеме контрол над техните системи.
Операцията, проследявана под името Weedhack, е активна от януари 2026 г. Злонамерените лица маскират злонамерен софтуер като клиенти и модове на Minecraft, примамвайки потребителите да изтеглят заразени файлове. Изследователите са идентифицирали 3820 уникални злонамерени JAR файла и повече от 240 URL адреса, участващи в разпространението на зловредния софтуер.
За да увеличи максимално обхвата си, кампанията разчита на техники за SEO отравяне и съдържание в YouTube, което популяризира уж легитимни модификации на Minecraft. Разследващите вече са идентифицирали множество видеоклипове и поне два YouTube канала, насочващи зрителите към злонамерени сайтове за изтегляне.
Съдържание
Професионална криминална платформа зад кампанията
В основата на операцията е усъвършенствано табло за управление, хоствано на weedhack.to, което предоставя на киберпрестъпниците достъп до откраднати идентификационни данни, системна информация и възможности за наблюдение на компрометирани устройства. Платформата също така позволява на клиентите да генерират персонализирани полезни товари със зловреден код, насочени към версии на Minecraft от 1.21.0 до 1.21.11, и дори да инжектират зловреден код в легитимни модификации на Minecraft.
Екосистемата от зловреден софтуер се предлага на пазара чрез Telegram канал с над 850 членове. Каналът служи като център за рекламиране на услугата, разпространение на актуализации и предлагане на клиентска поддръжка на потребителите на платформата.
Как работи веригата на инфекцията
Атаката започва, когато жертвата изтегли злонамерен JAR файл с име DonutDupe.jar от един от измамните уебсайтове. След като бъде изпълнен, файлът извлича информация от Command-and-Control (C2) сървъра чрез EtherHiding, техника, която използва блокчейна на Ethereum като инструмент за разрешаване на неизползвани данни.
След това зловредният софтуер се свързва с C2 инфраструктурата и изтегля втори полезен товар, базиран на Java, известен като Elevator.jar. Този компонент събира системна информация, създава изключения на Microsoft Defender и подготвя системата за допълнително внедряване на злонамерен софтуер.
Третият полезен товар, SecurityManager.jar, установява постоянство на заразеното устройство и действа като компонент за подготовка. Накрая се доставя Component.jar, който активира функционалността за отдалечен достъп, даваща на атакуващите широк контрол върху компрометираните системи.
Безплатни и премиум предложения за зловреден софтуер
Платформата Weedhack се предлага чрез две нива на абонамент:
Безплатно ниво : Включва мощен инструмент за кражба на информация, способен да събира идентификатори на сесии на Minecraft, данни от четири стартера на Minecraft, скрийншотове, файлове, системна информация, „бисквитки“ на браузъра, пароли от 36 уеб браузъра, информация от 56 портфейла с криптовалута, базирани на браузър, и 12 приложения за настолни портфейли, както и идентификационни данни, свързани с Discord, Steam и Telegram.
Премиум ниво : Предлага се от $4,99 на месец или $24,99 за доживотен лиценз, тази версия добавя разширени функции за отдалечен достъп, като наблюдение с уеб камера, регистриране на клавиши, обратно изпълнение на обвивката, споделяне на екрана с управление с клавиатура и мишка и възможности за прехвърляне на файлове.
Глобален обхват и по-ниска бариера пред киберпрестъпността
Най-много инфекции са регистрирани в Съединените щати, следвани от Германия, Индия, Обединеното кралство, Италия, Виетнам, Канада, Норвегия, Швеция, Финландия и Испания.
Определяща характеристика на Weedhack е неговата наличност в чиста мрежа, а не на скрити подземни пазари. Като предоставя безплатен достъп до сложен зловреден софтуер, наред с подробни уроци, платформата значително намалява бариерата за навлизане на амбициозни киберпрестъпници. Допълнителната възможност за кражба на акаунти в Minecraft допълнително увеличава привлекателността ѝ сред по-младите потребители, което прави кампанията особено опасна и ефективна.
От киберпрестъпност до кибертормоз
Изследователите също така наблюдават тревожно социално измерение на кампанията. Много клиенти изглежда са тийнейджъри и млади хора, които използват функциите за отдалечен достъп на зловредния софтуер, за да сплашват, тормозят и наблюдават жертвите.
Разследващите документираха случаи, в които нападателите тайно са записвали жертви чрез компрометирани уебкамери и по-късно са споделяли кадрите в Telegram канала като така наречените „трофеи“. Това поведение подчертава как платформи за зловреден софтуер като Weedhack не само улесняват традиционните киберпрестъпления, но и дават възможност за целенасочен кибертормоз и дигитален тормоз.
