Εκστρατεία κακόβουλου λογισμικού WeedHack
Ερευνητές κυβερνοασφάλειας αποκάλυψαν μια εξελιγμένη εκστρατεία κακόβουλου λογισμικού που στοχεύει παίκτες Minecraft, χρησιμοποιώντας το YouTube και την χειραγώγηση των μηχανών αναζήτησης για να μολύνει τους χρήστες με κακόβουλο λογισμικό ικανό να αναλάβει τον έλεγχο των συστημάτων τους.
Η επιχείρηση, που παρακολουθείται με την ονομασία Weedhack, είναι ενεργή από τον Ιανουάριο του 2026. Οι απειλητικοί παράγοντες μεταμφιέζουν κακόβουλο λογισμικό ως προγράμματα-πελάτες και mods του Minecraft, παρασύροντας τους χρήστες να κατεβάσουν μολυσμένα αρχεία. Οι ερευνητές έχουν εντοπίσει 3.820 μοναδικά κακόβουλα αρχεία JAR και περισσότερες από 240 διευθύνσεις URL που εμπλέκονται στη διανομή του κακόβουλου λογισμικού.
Για να μεγιστοποιήσει την εμβέλεια, η καμπάνια βασίζεται σε τεχνικές SEO poisoning και σε περιεχόμενο YouTube που προωθεί υποτιθέμενα νόμιμες τροποποιήσεις του Minecraft. Οι ερευνητές έχουν ήδη εντοπίσει πολλά βίντεο και τουλάχιστον δύο κανάλια YouTube που κατευθύνουν τους θεατές σε κακόβουλους ιστότοπους λήψης.
Πίνακας περιεχομένων
Μια επαγγελματική πλατφόρμα εγκληματικότητας πίσω από την εκστρατεία
Στον πυρήνα της επιχείρησης βρίσκεται ένας προηγμένος πίνακας ελέγχου που φιλοξενείται στο weedhack.to, ο οποίος παρέχει στους κυβερνοεγκληματίες πρόσβαση σε κλεμμένα διαπιστευτήρια, πληροφορίες συστήματος και δυνατότητες παρακολούθησης για παραβιασμένες συσκευές. Η πλατφόρμα επιτρέπει επίσης στους πελάτες να δημιουργούν προσαρμοσμένα φορτία κακόβουλου λογισμικού που στοχεύουν τις εκδόσεις 1.21.0 έως 1.21.11 του Minecraft, ακόμη και να εισάγουν κακόβουλο κώδικα σε νόμιμες τροποποιήσεις του Minecraft.
Το οικοσύστημα κακόβουλου λογισμικού προωθείται μέσω ενός καναλιού Telegram με περισσότερα από 850 μέλη. Το κανάλι χρησιμεύει ως κόμβος για τη διαφήμιση της υπηρεσίας, τη διανομή ενημερώσεων και την προσφορά υποστήριξης πελατών στους χρήστες της πλατφόρμας.
Πώς λειτουργεί η αλυσίδα μόλυνσης
Η επίθεση ξεκινά όταν ένα θύμα κατεβάζει ένα κακόβουλο αρχείο JAR με το όνομα DonutDupe.jar από έναν από τους δόλιους ιστότοπους. Μόλις εκτελεστεί, το αρχείο ανακτά πληροφορίες διακομιστή Command-and-Control (C2) μέσω του EtherHiding, μιας τεχνικής που αξιοποιεί το blockchain του Ethereum ως dead-drop resolver.
Στη συνέχεια, το κακόβουλο λογισμικό επικοινωνεί με την υποδομή C2 και κατεβάζει ένα δεύτερο ωφέλιμο φορτίο που βασίζεται σε Java, γνωστό ως Elevator.jar. Αυτό το στοιχείο συλλέγει πληροφορίες συστήματος, δημιουργεί εξαιρέσεις του Microsoft Defender και προετοιμάζει το σύστημα για πρόσθετη ανάπτυξη κακόβουλου λογισμικού.
Ένα τρίτο ωφέλιμο φορτίο, το SecurityManager.jar, εγκαθιστά την παραμονή στη μολυσμένη συσκευή και λειτουργεί ως στοιχείο σταδιακής επεξεργασίας. Τέλος, παρέχεται το Component.jar, το οποίο επιτρέπει τη λειτουργικότητα απομακρυσμένης πρόσβασης που δίνει στους εισβολείς εκτεταμένο έλεγχο σε παραβιασμένα συστήματα.
Δωρεάν και Premium προσφορές κακόβουλου λογισμικού
Η πλατφόρμα Weedhack προσφέρεται μέσω δύο επιπέδων συνδρομής:
Δωρεάν Επίπεδο : Περιλαμβάνει ένα ισχυρό εργαλείο κλοπής πληροφοριών ικανό να συλλέγει αναγνωριστικά περιόδου σύνδεσης Minecraft, δεδομένα από τέσσερις εκκινητές Minecraft, στιγμιότυπα οθόνης, αρχεία, πληροφορίες συστήματος, cookies προγράμματος περιήγησης, κωδικούς πρόσβασης από 36 προγράμματα περιήγησης ιστού, πληροφορίες από 56 πορτοφόλια κρυπτονομισμάτων που βασίζονται σε πρόγραμμα περιήγησης και 12 εφαρμογές πορτοφολιού για υπολογιστές, καθώς και διαπιστευτήρια που σχετίζονται με το Discord, το Steam και το Telegram.
Premium Tier : Διαθέσιμη από 4,99 $ το μήνα ή 24,99 $ για ισόβια άδεια χρήσης, αυτή η έκδοση προσθέτει προηγμένες λειτουργίες απομακρυσμένης πρόσβασης, όπως παρακολούθηση με κάμερα web, καταγραφή πλήκτρων, εκτέλεση αντίστροφου κελύφους, κοινή χρήση οθόνης με έλεγχο πληκτρολογίου και ποντικιού και δυνατότητες μεταφοράς αρχείων.
Παγκόσμια εμβέλεια και χαμηλότερο εμπόδιο στο κυβερνοέγκλημα
Τα περισσότερα κρούσματα έχουν καταγραφεί στις Ηνωμένες Πολιτείες, ακολουθούμενα από τη Γερμανία, την Ινδία, το Ηνωμένο Βασίλειο, την Ιταλία, το Βιετνάμ, τον Καναδά, τη Νορβηγία, τη Σουηδία, τη Φινλανδία και την Ισπανία.
Ένα καθοριστικό χαρακτηριστικό του Weedhack είναι η διαθεσιμότητά του στο διαδικτυακό περιβάλλον και όχι σε κρυφές υπόγειες αγορές. Παρέχοντας δωρεάν πρόσβαση σε εξελιγμένο κακόβουλο λογισμικό μαζί με λεπτομερή εκπαιδευτικά βίντεο, η πλατφόρμα μειώνει σημαντικά το εμπόδιο εισόδου για τους επίδοξους κυβερνοεγκληματίες. Η πρόσθετη δυνατότητα κλοπής λογαριασμών Minecraft αυξάνει περαιτέρω την απήχησή του στους νεότερους χρήστες, καθιστώντας την καμπάνια ιδιαίτερα επικίνδυνη και αποτελεσματική.
Από το Κυβερνοέγκλημα στον Κυβερνοεκφοβισμό
Οι ερευνητές έχουν επίσης παρατηρήσει μια ανησυχητική κοινωνική διάσταση στην καμπάνια. Πολλοί πελάτες φαίνεται να είναι έφηβοι και νεαροί ενήλικες που εκμεταλλεύονται τις λειτουργίες απομακρυσμένης πρόσβασης του κακόβουλου λογισμικού για να εκφοβίσουν, να παρενοχλήσουν και να παρακολουθήσουν τα θύματα.
Οι ερευνητές κατέγραψαν περιπτώσεις στις οποίες οι εισβολείς κατέγραψαν κρυφά τα θύματα μέσω παραβιασμένων webcam και αργότερα κοινοποίησαν το υλικό στο κανάλι Telegram ως τα λεγόμενα «τρόπαια». Αυτή η συμπεριφορά υπογραμμίζει πώς πλατφόρμες κακόβουλου λογισμικού όπως το Weedhack όχι μόνο διευκολύνουν το παραδοσιακό κυβερνοέγκλημα, αλλά και επιτρέπουν τον στοχευμένο κυβερνοεκφοβισμό και την ψηφιακή παρενόχληση.
