WeedHack-haittaohjelmakampanja
Kyberturvallisuustutkijat ovat paljastaneet hienostuneen Minecraft-pelaajiin kohdistuvan haittaohjelmakampanjan, joka hyödyntää YouTubea ja hakukoneiden manipulointia tartuttaakseen käyttäjiä haittaohjelmilla, jotka pystyvät ottamaan heidän järjestelmänsä hallintaansa.
Operaatiota, jota seurattiin nimellä Weedhack, on seurattu tammikuusta 2026 lähtien. Uhkatoimijat naamioivat haittaohjelmia Minecraft-asiakasohjelmiksi ja -modeiksi houkutellen käyttäjiä lataamaan tartunnan saaneita tiedostoja. Tutkijat ovat tunnistaneet 3 820 ainutlaatuista haitallista JAR-tiedostoa ja yli 240 URL-osoitetta, jotka ovat olleet mukana haittaohjelman levittämisessä.
Maksimoidakseen tavoittavuuden kampanja luottaa hakukoneoptimointitekniikoihin ja YouTube-sisältöön, joka mainostaa oletettavasti laillisia Minecraft-modifikaatioita. Tutkijat ovat jo tunnistaneet useita videoita ja ainakin kaksi YouTube-kanavaa, jotka ohjaavat katsojia haitallisille lataussivustoille.
Sisällysluettelo
Kampanjan takana on ammattimainen rikollisjärjestö
Toiminnan ytimessä on weedhack.to-sivustolla sijaitseva edistynyt kojelauta, joka tarjoaa kyberrikollisille pääsyn varastettuihin tunnistetietoihin, järjestelmätietoihin ja valvontaominaisuuksiin vaarantuneilla laitteilla. Alusta mahdollistaa myös asiakkaille räätälöityjen haittaohjelmahyötykuormien luomisen Minecraftin versioille 1.21.0–1.21.11 ja jopa haitallisen koodin lisäämisen laillisiin Minecraftin muutoksiin.
Haittaohjelmaekosysteemiä markkinoidaan Telegram-kanavan kautta, jolla on yli 850 jäsentä. Kanava toimii keskuksena palvelun mainostamiselle, päivitysten jakelulle ja asiakastuen tarjoamiselle alustan käyttäjille.
Miten tartuntaketju toimii
Hyökkäys alkaa, kun uhri lataa haitallisen JAR-tiedoston nimeltä DonutDupe.jar yhdeltä huijaussivustolta. Suoritettuaan tiedosto hakee Command-and-Control (C2) -palvelimen tiedot EtherHidingin avulla, joka hyödyntää Ethereumin lohkoketjua virheiden ratkaisejana.
Haittaohjelma ottaa sitten yhteyden C2-infrastruktuuriin ja lataa toisen Java-pohjaisen hyötykuorman nimeltä Elevator.jar. Tämä komponentti kerää järjestelmätietoja, luo Microsoft Defenderin poissulkemisia ja valmistelee järjestelmän haittaohjelmien lisäasennusta varten.
Kolmas hyötytiedosto, SecurityManager.jar, luo pysyvyyden tartunnan saaneelle laitteelle ja toimii testauskomponenttina. Lopuksi toimitetaan Component.jar, joka mahdollistaa etäkäyttötoiminnon, joka antaa hyökkääjille laajan hallinnan vaarantuneisiin järjestelmiin.
Ilmaisia ja premium-haittaohjelmatarjouksia
Weedhack-alustaa tarjotaan kahden tilaustason kautta:
Ilmainen taso : Sisältää tehokkaan tiedonvarastimen, joka pystyy keräämään Minecraft-istuntotunnuksia, tietoja neljästä Minecraft-käynnistysohjelmasta, kuvakaappauksia, tiedostoja, järjestelmätietoja, selain-evästeitä, salasanoja 36 verkkoselaimesta, tietoja 56 selainpohjaisesta kryptovaluuttalompakosta ja 12 työpöytälompakkosovelluksesta sekä Discordiin, Steamiin ja Telegramiin liittyviä tunnistetietoja.
Premium-taso : Saatavilla alkaen 4,99 dollaria kuukaudessa tai 24,99 dollaria elinikäisellä lisenssillä. Tämä versio lisää edistyneitä etäkäyttöominaisuuksia, kuten web-kameravalvonnan, näppäinpainallusten tallentamisen, käänteisen komentotulkin suorittamisen, näytön jakamisen näppäimistön ja hiiren ohjauksella sekä tiedostojen siirto-ominaisuudet.
Globaali ulottuvuus ja alhaisempi kyberrikollisuuden este
Eniten tartuntoja on raportoitu Yhdysvalloissa, jota seuraavat Saksa, Intia, Iso-Britannia, Italia, Vietnam, Kanada, Norja, Ruotsi, Suomi ja Espanja.
Weedhackin tyypillinen ominaisuus on sen saatavuus avoimessa verkossa piilotettujen maanalaisten markkinapaikkojen sijaan. Tarjoamalla ilmaisen pääsyn hienostuneisiin haittaohjelmiin sekä yksityiskohtaisia opetusohjelmia alusta madaltaa merkittävästi aloittelevien kynnystä kyberrikollisille. Lisämahdollisuus varastaa Minecraft-tilejä lisää entisestään sen houkuttelevuutta nuorempien käyttäjien keskuudessa, mikä tekee kampanjasta erityisen vaarallisen ja tehokkaan.
Kyberrikollisuudesta kyberkiusaamiseen
Tutkijat ovat havainneet kampanjassa myös hälyttävän sosiaalisen ulottuvuuden. Monet asiakkaat näyttävät olevan teini-ikäisiä ja nuoria aikuisia, jotka hyödyntävät haittaohjelman etäkäyttöominaisuuksia uhrien pelottelemiseen, häirintään ja valvontaan.
Tutkijat dokumentoivat tapauksia, joissa hyökkääjät salaa tallensivat uhreja vaarantuneiden web-kameroiden avulla ja jakoivat myöhemmin materiaalia Telegram-kanavalla niin sanottuina "palkinnoina". Tämä toiminta korostaa sitä, kuinka haittaohjelma-alustat, kuten Weedhack, eivät ainoastaan helpota perinteistä kyberrikollisuutta, vaan myös mahdollistavat kohdennetun kyberkiusaamisen ja digitaalisen häirinnän.
