WeedHack 멀웨어 캠페인

사이버 보안 연구원들이 마인크래프트 플레이어를 겨냥한 정교한 악성코드 캠페인을 발견했습니다. 이 캠페인은 유튜브와 검색 엔진을 조작하여 사용자의 시스템을 장악할 수 있는 악성코드를 감염시키는 방식을 사용합니다.

위드핵(Weedhack)이라는 이름으로 추적되는 이 공격은 2026년 1월부터 활동해 왔습니다. 공격자들은 악성 소프트웨어를 마인크래프트 클라이언트나 모드로 위장하여 사용자들이 감염된 파일을 다운로드하도록 유도합니다. 연구원들은 이 악성코드를 유포하는 데 사용된 3,820개의 고유한 악성 JAR 파일과 240개 이상의 URL을 확인했습니다.

도달 범위를 극대화하기 위해 해당 캠페인은 SEO 조작 기법과 합법적인 마인크래프트 모드를 홍보하는 것처럼 보이는 유튜브 콘텐츠를 활용합니다. 조사관들은 이미 시청자를 악성 다운로드 사이트로 유도하는 여러 동영상과 최소 두 개의 유튜브 채널을 확인했습니다.

이 캠페인의 배후에는 전문 범죄자 집단이 있다.

이 공격의 핵심은 weedhack.to에 호스팅된 고급 대시보드로, 사이버 범죄자들에게 탈취한 계정 정보, 시스템 정보, 그리고 감염된 기기를 모니터링할 수 있는 기능을 제공합니다. 또한, 이 플랫폼을 통해 사용자는 마인크래프트 1.21.0부터 1.21.11 버전을 대상으로 하는 맞춤형 악성코드 페이로드를 생성하고, 심지어 정상적인 마인크래프트 모드에 악성 코드를 삽입할 수도 있습니다.

해당 악성코드 생태계는 850명 이상의 회원을 보유한 텔레그램 채널을 통해 홍보되고 있습니다. 이 채널은 서비스 광고, 업데이트 배포, 플랫폼 사용자 고객 지원의 중심 역할을 합니다.

감염 사슬은 어떻게 작동하는가

이 공격은 피해자가 사기성 웹사이트 중 하나에서 DonutDupe.jar라는 악성 JAR 파일을 다운로드하면서 시작됩니다. 해당 파일이 실행되면 이더리움 블록체인을 데드드롭 리졸버로 활용하는 EtherHiding이라는 기술을 통해 명령 및 제어(C2) 서버 정보를 탈취합니다.

악성 프로그램은 C2 인프라에 접속하여 Elevator.jar이라는 두 번째 자바 기반 페이로드를 다운로드합니다. 이 구성 요소는 시스템 정보를 수집하고 Microsoft Defender 예외를 생성하며 추가 악성 프로그램 배포를 위해 시스템을 준비합니다.

세 번째 페이로드인 SecurityManager.jar는 감염된 장치에 지속성을 확보하고 스테이징 구성 요소 역할을 합니다. 마지막으로 Component.jar가 전달되어 공격자가 손상된 시스템을 광범위하게 제어할 수 있는 원격 액세스 기능을 활성화합니다.

무료 및 유료 악성 소프트웨어 제공

Weedhack 플랫폼은 두 가지 구독 등급으로 제공됩니다.

무료 티어 : 마인크래프트 세션 ID, 4개의 마인크래프트 런처 데이터, 스크린샷, 파일, 시스템 정보, 브라우저 쿠키, 36개 웹 브라우저의 비밀번호, 56개의 브라우저 기반 암호화폐 지갑 및 12개의 데스크톱 지갑 애플리케이션 정보, 그리고 Discord, Steam, Telegram 관련 자격 증명을 수집할 수 있는 강력한 정보 탈취 도구가 포함되어 있습니다.
프리미엄 등급 : 월 4.99달러 또는 평생 라이선스 24.99달러에 이용 가능한 이 버전은 웹캠 감시, 키로깅, 리버스 셸 실행, 키보드 및 마우스 제어를 통한 화면 공유, 파일 전송 기능과 같은 고급 원격 접속 기능을 추가합니다.
전 세계적인 접근성과 사이버 범죄에 대한 진입 장벽 완화

감염 사례는 미국에서 가장 많이 발생했으며, 그 뒤를 이어 독일, 인도, 영국, 이탈리아, 베트남, 캐나다, 노르웨이, 스웨덴, 핀란드, 스페인 순으로 나타났습니다.

위드핵(Weedhack)의 가장 큰 특징은 은밀한 암시장이 아닌 공개 웹에서 쉽게 구할 수 있다는 점입니다. 정교한 악성코드와 자세한 사용법을 무료로 제공함으로써, 사이버 범죄를 시도하려는 사람들의 진입 장벽을 크게 낮춥니다. 특히 마인크래프트 계정을 탈취할 수 있는 기능은 어린 사용자들에게 더욱 큰 매력을 어필하며, 이러한 위험성과 효과를 극대화합니다.

사이버 범죄부터 사이버 괴롭힘까지

연구원들은 또한 이 캠페인에 심각한 사회적 측면이 있음을 발견했습니다. 많은 사용자가 10대와 젊은 성인으로, 악성 소프트웨어의 원격 접속 기능을 악용하여 피해자를 협박하고 괴롭히며 감시하는 것으로 나타났습니다.

수사관들은 공격자들이 해킹당한 웹캠을 통해 피해자들을 몰래 녹화한 후, 해당 영상을 텔레그램 채널에 이른바 '전리품'으로 공유하는 사례들을 확인했습니다. 이러한 행태는 위드핵(Weedhack)과 같은 악성코드 플랫폼이 기존의 사이버 범죄를 조장할 뿐만 아니라, 표적 사이버 괴롭힘과 디지털 희롱까지 가능하게 한다는 점을 보여줍니다.