קמפיין תוכנות זדוניות WeedHack

חוקרי אבטחת סייבר חשפו קמפיין תוכנות זדוניות מתוחכם שמכוון נגד שחקני Minecraft, תוך שימוש ביוטיוב ובמנועי חיפוש כדי להדביק משתמשים בתוכנות זדוניות המסוגלות להשתלט על המערכות שלהם.

המבצע, שעוקב תחת השם Weedhack, פעיל מאז ינואר 2026. גורמי איום מסווים תוכנות זדוניות כלקוחות Minecraft ומודים, ומפתים משתמשים להוריד קבצים נגועים. חוקרים זיהו 3,820 קבצי JAR זדוניים ייחודיים ויותר מ-240 כתובות URL המעורבות בהפצת התוכנה הזדונית.

כדי למקסם את טווח ההגעה, הקמפיין מסתמך על טכניקות הרעלת SEO ועל תוכן יוטיוב המקדם שינויים לגיטימיים לכאורה במיינקראפט. חוקרים כבר זיהו מספר סרטונים ולפחות שני ערוצי יוטיוב שהפנו צופים לאתרי הורדה זדוניים.

פלטפורמה פלילית מקצועית מאחורי הקמפיין

בליבת הפעולה נמצא לוח מחוונים מתקדם הממוקם באתר weedhack.to, המספק לפושעי סייבר גישה לאישורים גנובים, מידע על המערכת ויכולות ניטור עבור מכשירים שנפרצו. הפלטפורמה גם מאפשרת ללקוחות ליצור עומסי תוכנה זדונית מותאמים אישית המכוונים לגרסאות Minecraft 1.21.0 עד 1.21.11 ואף להחדיר קוד זדוני לשינויים לגיטימיים של Minecraft.

מערכת ההפעלה של תוכנות זדוניות משווקת דרך ערוץ טלגרם עם יותר מ-850 חברים. הערוץ משמש כמרכז לפרסום השירות, הפצת עדכונים והצעת תמיכת לקוחות למשתמשי הפלטפורמה.

כיצד פועלת שרשרת ההדבקה

ההתקפה מתחילה כאשר קורבן מוריד קובץ JAR זדוני בשם DonutDupe.jar מאחד מאתרי האינטרנט ההונאה. לאחר הפעלתו, הקובץ מאחזר מידע משרת Command-and-Control (C2) באמצעות EtherHiding, טכניקה הממנפת את בלוקצ'יין של את'ריום כפתרון dead-drop.

לאחר מכן, התוכנה הזדונית יוצרת קשר עם תשתית C2 ומורידה מטען שני מבוסס ג'אווה המכונה Elevator.jar. רכיב זה אוסף מידע מערכת, יוצר אי הכללות של Microsoft Defender ומכין את המערכת לפריסת תוכנות זדוניות נוספות.

רכיב מטען שלישי, SecurityManager.jar, יוצר שמירה על המכשיר הנגוע ומשמש כרכיב ביניים. לבסוף, Component.jar מסופק, ומאפשר פונקציונליות גישה מרחוק המעניקה לתוקפים שליטה נרחבת על מערכות שנפרצו.

הצעות תוכנות זדוניות בחינם ובפרימיום

פלטפורמת Weedhack מוצעת באמצעות שתי רמות מנוי:

רמה חינמית : כוללת תוכנת גונב מידע עוצמתית המסוגלת לאסוף מזהי סשן של Minecraft, נתונים מארבעה משגרי Minecraft, צילומי מסך, קבצים, מידע מערכת, קובצי Cookie של דפדפן, סיסמאות מ-36 דפדפני אינטרנט, מידע מ-56 ארנקי קריפטו מבוססי דפדפן ו-12 אפליקציות ארנק למחשב שולחני, כמו גם אישורים הקשורים ל-Discord, Steam ו-Telegram.
רמת פרימיום : גרסה זו, הזמינה החל מ-$4.99 לחודש או $24.99 עבור רישיון לכל החיים, מוסיפה תכונות גישה מרחוק מתקדמות כגון מעקב מצלמת רשת, רישום מקשים, ביצוע מעטפת הפוכה, שיתוף מסך עם שליטה במקלדת ועכבר ויכולות העברת קבצים.
טווח הגעה עולמי והפחתת מחסום לפשע סייבר

רוב הנדבקים נרשמו בארצות הברית, ואחריה גרמניה, הודו, בריטניה, איטליה, וייטנאם, קנדה, נורבגיה, שבדיה, פינלנד וספרד.

מאפיין בולט של Weedhack הוא זמינותו באינטרנט הפתוח ולא בשווקים נסתרים ומחתרתיים. על ידי מתן גישה חופשית לתוכנות זדוניות מתוחכמות לצד הדרכות מפורטות, הפלטפורמה מורידה משמעותית את מחסום הכניסה עבור פושעי סייבר מתחילים. היכולת הנוספת לגנוב חשבונות Minecraft מגבירה עוד יותר את המשיכה שלה בקרב משתמשים צעירים יותר, מה שהופך את הקמפיין למסוכן ויעיל במיוחד.

מפשעי סייבר לבריונות ברשת

חוקרים הבחינו גם בממד חברתי מדאיג של הקמפיין. נראה כי לקוחות רבים הם בני נוער ומבוגרים צעירים המנצלים את תכונות הגישה מרחוק של הנוזקה כדי להפחיד, להטריד ולנטר קורבנות.

חוקרים תיעדו מקרים בהם תוקפים הקליטו בסתר קורבנות באמצעות מצלמות רשת שנפרצו, ולאחר מכן שיתפו את הצילומים בערוץ טלגרם כ"גביעים" כביכול. התנהגות זו מדגישה כיצד פלטפורמות תוכנות זדוניות כמו Weedhack לא רק מקלות על פשעי סייבר מסורתיים, אלא גם מאפשרות בריונות ממוקדת ברשת והטרדה דיגיטלית.