Campagna di malware WeedHack
Alcuni ricercatori nel campo della sicurezza informatica hanno scoperto una sofisticata campagna malware mirata ai giocatori di Minecraft, che sfrutta YouTube e la manipolazione dei motori di ricerca per infettare gli utenti con malware in grado di assumere il controllo dei loro sistemi.
L'operazione, nota con il nome di Weedhack, è attiva da gennaio 2026. Gli autori della minaccia mascherano il software dannoso come client e mod di Minecraft, inducendo gli utenti a scaricare file infetti. I ricercatori hanno identificato 3.820 file JAR dannosi unici e oltre 240 URL coinvolti nella distribuzione del malware.
Per massimizzare la portata, la campagna si basa su tecniche di manipolazione dei dati SEO e su contenuti YouTube che promuovono modifiche di Minecraft apparentemente legittime. Gli investigatori hanno già identificato diversi video e almeno due canali YouTube che indirizzano gli spettatori verso siti di download dannosi.
Sommario
Dietro la campagna si cela una piattaforma criminale professionale.
Il fulcro dell'operazione è una dashboard avanzata ospitata su weedhack.to, che fornisce ai criminali informatici l'accesso alle credenziali rubate, alle informazioni di sistema e alle funzionalità di monitoraggio dei dispositivi compromessi. La piattaforma consente inoltre ai clienti di generare payload malware personalizzati per le versioni di Minecraft dalla 1.21.0 alla 1.21.11 e persino di iniettare codice dannoso in modifiche legittime di Minecraft.
L'ecosistema del malware viene commercializzato tramite un canale Telegram con oltre 850 membri. Il canale funge da punto di riferimento per la pubblicità del servizio, la distribuzione di aggiornamenti e l'assistenza clienti agli utenti della piattaforma.
Come funziona la catena di infezione
L'attacco inizia quando la vittima scarica un file JAR dannoso denominato DonutDupe.jar da uno dei siti web fraudolenti. Una volta eseguito, il file recupera le informazioni del server di comando e controllo (C2) tramite EtherHiding, una tecnica che sfrutta la blockchain di Ethereum come resolver di deaddrop.
Il malware si connette quindi all'infrastruttura C2 e scarica un secondo payload basato su Java, noto come Elevator.jar. Questo componente raccoglie informazioni di sistema, crea esclusioni in Microsoft Defender e prepara il sistema per l'installazione di ulteriore malware.
Un terzo payload, SecurityManager.jar, stabilisce la persistenza sul dispositivo infetto e funge da componente di staging. Infine, viene distribuito Component.jar, che abilita la funzionalità di accesso remoto, offrendo agli aggressori un controllo esteso sui sistemi compromessi.
Offerte di malware gratuite e a pagamento
La piattaforma Weedhack è offerta tramite due livelli di abbonamento:
Livello gratuito : include un potente strumento per il furto di informazioni in grado di raccogliere ID di sessione di Minecraft, dati da quattro launcher di Minecraft, screenshot, file, informazioni di sistema, cookie del browser, password da 36 browser web, informazioni da 56 portafogli di criptovalute basati su browser e 12 applicazioni desktop per portafogli, nonché credenziali associate a Discord, Steam e Telegram.
Livello Premium : disponibile a partire da 4,99 dollari al mese o 24,99 dollari per una licenza a vita, questa versione aggiunge funzionalità avanzate di accesso remoto come la sorveglianza tramite webcam, il keylogging, l'esecuzione di reverse shell, la condivisione dello schermo con controllo tramite tastiera e mouse e la possibilità di trasferire file.
Portata globale e barriere più basse alla criminalità informatica.
La maggior parte dei contagi è stata registrata negli Stati Uniti, seguiti da Germania, India, Regno Unito, Italia, Vietnam, Canada, Norvegia, Svezia, Finlandia e Spagna.
Una caratteristica distintiva di Weedhack è la sua disponibilità sul web tradizionale, anziché in mercati clandestini nascosti. Offrendo accesso gratuito a malware sofisticati e corredato da tutorial dettagliati, la piattaforma abbassa significativamente la soglia d'ingresso per gli aspiranti cybercriminali. La possibilità di rubare account Minecraft ne aumenta ulteriormente l'attrattiva tra gli utenti più giovani, rendendo la campagna particolarmente pericolosa ed efficace.
Dal crimine informatico al cyberbullismo
I ricercatori hanno inoltre osservato una preoccupante dimensione sociale della campagna. Molti utenti sembrano essere adolescenti e giovani adulti che sfruttano le funzionalità di accesso remoto del malware per intimidire, molestare e monitorare le vittime.
Gli investigatori hanno documentato casi in cui gli aggressori hanno registrato di nascosto le vittime tramite webcam compromesse, condividendo poi i filmati sul canale Telegram come cosiddetti "trofei". Questo comportamento evidenzia come piattaforme malware come Weedhack non solo facilitino la criminalità informatica tradizionale, ma permettano anche il cyberbullismo mirato e le molestie digitali.
