WeedHack Malware-kampagne
Cybersikkerhedsforskere har afdækket en sofistikeret malwarekampagne rettet mod Minecraft-spillere, der bruger YouTube og søgemaskinemanipulation til at inficere brugere med malware, der er i stand til at tage kontrol over deres systemer.
Operationen, der spores under navnet Weedhack, har været aktiv siden januar 2026. Trusselaktører forklæder skadelig software som Minecraft-klienter og mods og lokker brugere til at downloade inficerede filer. Forskere har identificeret 3.820 unikke skadelige JAR-filer og mere end 240 URL'er, der er involveret i distributionen af malwaren.
For at maksimere rækkevidden bruger kampagnen SEO-forgiftningsteknikker og YouTube-indhold, der promoverer angiveligt legitime Minecraft-modifikationer. Efterforskere har allerede identificeret flere videoer og mindst to YouTube-kanaler, der leder seere til ondsindede downloadsider.
Indholdsfortegnelse
En professionel kriminel platform bag kampagnen
Kernen i operationen er et avanceret dashboard på weedhack.to, som giver cyberkriminelle adgang til stjålne legitimationsoplysninger, systemoplysninger og overvågningsfunktioner for kompromitterede enheder. Platformen giver også kunderne mulighed for at generere tilpassede malware-nyttelaster målrettet Minecraft-versionerne 1.21.0 til 1.21.11 og endda injicere ondsindet kode i legitime Minecraft-modifikationer.
Malware-økosystemet markedsføres via en Telegram-kanal med mere end 850 medlemmer. Kanalen fungerer som et knudepunkt for reklame for tjenesten, distribution af opdateringer og tilbud om kundesupport til brugere af platformen.
Hvordan infektionskæden fungerer
Angrebet begynder, når et offer downloader en ondsindet JAR-fil ved navn DonutDupe.jar fra et af de falske websteder. Når filen er udført, henter den Command-and-Control (C2)-serverinformation via EtherHiding, en teknik, der udnytter Ethereum-blockchainen som en dead-drop-resolver.
Malwaren kontakter derefter C2-infrastrukturen og downloader en anden Java-baseret nyttelast kaldet Elevator.jar. Denne komponent indsamler systemoplysninger, opretter Microsoft Defender-udelukkelser og forbereder systemet til yderligere malware-installation.
En tredje nyttelast, SecurityManager.jar, etablerer persistens på den inficerede enhed og fungerer som en staging-komponent. Endelig leveres Component.jar, der muliggør fjernadgangsfunktionalitet, der giver angribere omfattende kontrol over kompromitterede systemer.
Gratis og premium malware-tilbud
Weedhack-platformen tilbydes via to abonnementsniveauer:
Gratis niveau : Indeholder en kraftfuld informationstyver, der er i stand til at indsamle Minecraft-sessions-ID'er, data fra fire Minecraft-launchere, skærmbilleder, filer, systemoplysninger, browsercookies, adgangskoder fra 36 webbrowsere, oplysninger fra 56 browserbaserede kryptovaluta-wallets og 12 desktop-wallet-applikationer, samt legitimationsoplysninger tilknyttet Discord, Steam og Telegram.
Premium-niveau : Tilgængelig fra $4,99 pr. måned eller $24,99 for en livstidslicens. Denne version tilføjer avancerede fjernadgangsfunktioner såsom webcam-overvågning, keylogging, reverse shell-udførelse, skærmdeling med tastatur- og musekontrol samt filoverførselsfunktioner.
Global rækkevidde og en lavere barriere for cyberkriminalitet
De fleste infektioner er blevet registreret i USA, efterfulgt af Tyskland, Indien, Storbritannien, Italien, Vietnam, Canada, Norge, Sverige, Finland og Spanien.
Et definerende kendetegn ved Weedhack er dets tilgængelighed på det åbne internet snarere end skjulte, underjordiske markedspladser. Ved at give gratis adgang til sofistikeret malware sammen med detaljerede vejledninger sænker platformen adgangsbarrieren betydeligt for håbefulde cyberkriminelle. Den ekstra mulighed for at stjæle Minecraft-konti øger yderligere dens appel blandt yngre brugere, hvilket gør kampagnen særligt farlig og effektiv.
Fra cyberkriminalitet til cybermobning
Forskere har også observeret en alarmerende social dimension i kampagnen. Mange kunder synes at være teenagere og unge voksne, der udnytter malwarens fjernadgangsfunktioner til at intimidere, chikanere og overvåge ofre.
Efterforskere har dokumenteret tilfælde, hvor angribere i hemmelighed optog ofre via kompromitterede webkameraer og senere delte optagelserne på Telegram-kanalen som såkaldte 'trofæer'. Denne adfærd fremhæver, hvordan malwareplatforme som Weedhack ikke kun fremmer traditionel cyberkriminalitet, men også muliggør målrettet cybermobning og digital chikane.
