کمپین بدافزار WeedHack

محققان امنیت سایبری یک کمپین بدافزار پیچیده را کشف کرده‌اند که بازیکنان ماینکرفت را هدف قرار داده و با استفاده از دستکاری یوتیوب و موتور جستجو، کاربران را به بدافزاری آلوده می‌کند که قادر به کنترل سیستم‌های آنها است.

این عملیات که با نام Weedhack ردیابی می‌شود، از ژانویه ۲۰۲۶ فعال بوده است. عوامل تهدید، نرم‌افزارهای مخرب را به عنوان کلاینت‌ها و مدهای Minecraft پنهان می‌کنند و کاربران را به دانلود فایل‌های آلوده ترغیب می‌کنند. محققان ۳۸۲۰ فایل JAR مخرب منحصر به فرد و بیش از ۲۴۰ URL را که در توزیع این بدافزار نقش دارند، شناسایی کرده‌اند.

برای به حداکثر رساندن دسترسی، این کمپین به تکنیک‌های مسمومیت سئو و محتوای یوتیوب که ظاهراً تغییرات قانونی ماینکرفت را تبلیغ می‌کند، متکی است. محققان تاکنون چندین ویدیو و حداقل دو کانال یوتیوب را شناسایی کرده‌اند که بینندگان را به سایت‌های دانلود مخرب هدایت می‌کنند.

یک پلتفرم مجرمانه حرفه‌ای پشت این کمپین

در هسته این عملیات، یک داشبورد پیشرفته میزبانی شده در weedhack.to وجود دارد که به مجرمان سایبری امکان دسترسی به اعتبارنامه‌های سرقت شده، اطلاعات سیستم و قابلیت‌های نظارت بر دستگاه‌های آسیب‌دیده را می‌دهد. این پلتفرم همچنین به مشتریان این امکان را می‌دهد که بدافزارهای سفارشی‌شده‌ای را تولید کنند که نسخه‌های Minecraft 1.21.0 تا 1.21.11 را هدف قرار می‌دهند و حتی کد مخرب را به تغییرات قانونی Minecraft تزریق می‌کنند.

این اکوسیستم بدافزار از طریق یک کانال تلگرامی با بیش از ۸۵۰ عضو به بازار عرضه می‌شود. این کانال به عنوان مرکزی برای تبلیغ سرویس، توزیع به‌روزرسانی‌ها و ارائه پشتیبانی مشتری به کاربران این پلتفرم عمل می‌کند.

نحوه عملکرد زنجیره عفونت

این حمله زمانی آغاز می‌شود که قربانی یک فایل JAR مخرب به نام DonutDupe.jar را از یکی از وب‌سایت‌های کلاهبردار دانلود می‌کند. پس از اجرا، این فایل اطلاعات سرور فرماندهی و کنترل (C2) را از طریق EtherHiding بازیابی می‌کند، تکنیکی که از بلاکچین اتریوم به عنوان یک حل‌کننده‌ی dead-drop استفاده می‌کند.

سپس این بدافزار با زیرساخت C2 ارتباط برقرار کرده و یک فایل مخرب مبتنی بر جاوا به نام Elevator.jar را دانلود می‌کند. این مؤلفه اطلاعات سیستم را جمع‌آوری می‌کند، Microsoft Defender را مسدود می‌کند و سیستم را برای استقرار بدافزارهای بیشتر آماده می‌کند.

سومین فایل مخرب، SecurityManager.jar، روی دستگاه آلوده ماندگاری ایجاد می‌کند و به عنوان یک جزء مرحله‌بندی عمل می‌کند. در نهایت، Component.jar اجرا می‌شود و قابلیت دسترسی از راه دور را فعال می‌کند که به مهاجمان کنترل گسترده‌ای بر سیستم‌های آسیب‌دیده می‌دهد.

ارائه بدافزارهای رایگان و پریمیوم

پلتفرم Weedhack از طریق دو سطح اشتراک ارائه می‌شود:

رده رایگان : شامل یک سارق اطلاعات قدرتمند است که قادر به جمع‌آوری شناسه‌های نشست ماینکرفت، داده‌های چهار لانچر ماینکرفت، اسکرین‌شات‌ها، فایل‌ها، اطلاعات سیستم، کوکی‌های مرورگر، رمزهای عبور از ۳۶ مرورگر وب، اطلاعات ۵۶ کیف پول ارز دیجیتال مبتنی بر مرورگر و ۱۲ برنامه کیف پول دسکتاپ و همچنین اطلاعات مربوط به Discord، Steam و Telegram است.
سطح پریمیوم : این نسخه که از ۴.۹۹ دلار در ماه یا ۲۴.۹۹ دلار برای مجوز مادام‌العمر در دسترس است، ویژگی‌های پیشرفته دسترسی از راه دور مانند نظارت بر وب‌کم، ثبت کلیدهای فشرده‌شده، اجرای معکوس shell، اشتراک‌گذاری صفحه با کنترل صفحه‌کلید و ماوس و قابلیت‌های انتقال فایل را اضافه می‌کند.
دسترسی جهانی و موانع کمتر برای جرایم سایبری

بیشترین موارد ابتلا در ایالات متحده ثبت شده است و پس از آن آلمان، هند، بریتانیا، ایتالیا، ویتنام، کانادا، نروژ، سوئد، فنلاند و اسپانیا قرار دارند.

یکی از ویژگی‌های بارز Weedhack، دسترسی به آن در وب شفاف به جای بازارهای زیرزمینی و پنهان است. این پلتفرم با ارائه دسترسی رایگان به بدافزارهای پیشرفته در کنار آموزش‌های دقیق، موانع ورود مجرمان سایبری مشتاق را به طور قابل توجهی کاهش می‌دهد. قابلیت اضافی سرقت حساب‌های Minecraft، جذابیت آن را در بین کاربران جوان‌تر بیشتر می‌کند و این کمپین را به ویژه خطرناک و مؤثر می‌سازد.

از جرایم سایبری تا آزار و اذیت سایبری

محققان همچنین یک بُعد اجتماعی نگران‌کننده را در این کمپین مشاهده کرده‌اند. به نظر می‌رسد بسیاری از مشتریان، نوجوانان و جوانانی هستند که از ویژگی‌های دسترسی از راه دور این بدافزار برای ارعاب، آزار و اذیت و نظارت بر قربانیان سوءاستفاده می‌کنند.

محققان مواردی را مستند کرده‌اند که در آن‌ها مهاجمان مخفیانه از طریق وب‌کم‌های هک‌شده، از قربانیان فیلم‌برداری کرده و بعداً فیلم را در کانال تلگرام به عنوان «غنائم» به اشتراک گذاشته‌اند. این رفتار نشان می‌دهد که چگونه پلتفرم‌های بدافزاری مانند Weedhack نه تنها جرایم سایبری سنتی را تسهیل می‌کنند، بلکه امکان قلدری سایبری هدفمند و آزار و اذیت دیجیتال را نیز فراهم می‌کنند.