WeedHack ļaunprogrammatūras kampaņa
Kiberdrošības pētnieki ir atklājuši sarežģītu ļaunprogrammatūras kampaņu, kas vērsta pret Minecraft spēlētājiem, izmantojot YouTube un meklētājprogrammu manipulācijas, lai inficētu lietotājus ar ļaunprogrammatūru, kas spēj pārņemt kontroli pār viņu sistēmām.
Operācija, kas tiek izsekota ar nosaukumu Weedhack, notiek kopš 2026. gada janvāra. Draudu izpildītāji maskē ļaunprogrammatūru kā Minecraft klientus un modifikācijas, pievilinot lietotājus lejupielādēt inficētus failus. Pētnieki ir identificējuši 3820 unikālus ļaunprātīgus JAR failus un vairāk nekā 240 URL, kas iesaistīti ļaunprogrammatūras izplatīšanā.
Lai maksimāli palielinātu sasniedzamību, kampaņa balstās uz SEO piesārņošanas metodēm un YouTube saturu, kas reklamē it kā likumīgas Minecraft modifikācijas. Izmeklētāji jau ir identificējuši vairākus videoklipus un vismaz divus YouTube kanālus, kas novirza skatītājus uz ļaunprātīgām lejupielādes vietnēm.
Satura rādītājs
Kampaņas pamatā ir profesionāla noziedznieku platforma
Operācijas pamatā ir uzlabots informācijas panelis, kas atrodas vietnē weedhack.to un nodrošina kibernoziedzniekiem piekļuvi nozagtiem akreditācijas datiem, sistēmas informācijai un uzraudzības iespējām apdraudētās ierīcēs. Platforma arī ļauj klientiem ģenerēt pielāgotus ļaunprogrammatūras vērtumus, kas vērsti pret Minecraft versijām no 1.21.0 līdz 1.21.11, un pat ievietot ļaunprātīgu kodu likumīgās Minecraft modifikācijās.
Ļaunprogrammatūras ekosistēma tiek reklamēta, izmantojot Telegram kanālu ar vairāk nekā 850 dalībniekiem. Kanāls kalpo kā centrs pakalpojuma reklamēšanai, atjauninājumu izplatīšanai un klientu atbalsta sniegšanai platformas lietotājiem.
Kā darbojas infekcijas ķēde
Uzbrukums sākas, kad upuris no vienas no krāpnieciskajām vietnēm lejupielādē ļaunprātīgu JAR failu ar nosaukumu DonutDupe.jar. Pēc izpildes fails izgūst Command-and-Control (C2) servera informāciju, izmantojot EtherHiding — tehniku, kas izmanto Ethereum blokķēdi kā neveiksmīgu kļūdu atrisinātāju.
Pēc tam ļaunprogrammatūra sazinās ar C2 infrastruktūru un lejupielādē otru Java balstītu vērtuma failu, kas pazīstams kā Elevator.jar. Šis komponents apkopo sistēmas informāciju, izveido Microsoft Defender izņēmumus un sagatavo sistēmu papildu ļaunprogrammatūras izvietošanai.
Trešā lietderīgā datne SecurityManager.jar nodrošina pastāvīgu piekļuvi inficētajai ierīcei un darbojas kā izmēģinājuma komponents. Visbeidzot, tiek piegādāta Component.jar, kas iespējo attālās piekļuves funkcionalitāti, kas uzbrucējiem sniedz plašu kontroli pār apdraudētajām sistēmām.
Bezmaksas un Premium ļaunprogrammatūras piedāvājumi
Weedhack platforma tiek piedāvāta divos abonēšanas līmeņos:
Bezmaksas līmenis : Ietver jaudīgu informācijas zagli, kas spēj ievākt Minecraft sesiju ID, datus no četriem Minecraft palaidējiem, ekrānuzņēmumus, failus, sistēmas informāciju, pārlūkprogrammas sīkfailus, paroles no 36 tīmekļa pārlūkprogrammām, informāciju no 56 pārlūkprogrammā balstītiem kriptovalūtas makiem un 12 darbvirsmas maku lietojumprogrammām, kā arī akreditācijas datus, kas saistīti ar Discord, Steam un Telegram.
Premium līmenis : pieejama no 4,99 USD mēnesī vai 24,99 USD par mūža licenci, šī versija pievieno uzlabotas attālās piekļuves funkcijas, piemēram, tīmekļa kameras uzraudzību, taustiņu nospiešanas fiksēšanu, apgriezto čaulas izpildi, ekrāna koplietošanu ar tastatūras un peles vadību, kā arī failu pārsūtīšanas iespējas.
Globāls tvērums un zemāki šķēršļi kibernoziegumiem
Visvairāk inficēšanās gadījumu ir reģistrēti Amerikas Savienotajās Valstīs, kam seko Vācija, Indija, Apvienotā Karaliste, Itālija, Vjetnama, Kanāda, Norvēģija, Zviedrija, Somija un Spānija.
Weedhack raksturīga iezīme ir tā pieejamība tīrā tīmeklī, nevis slēptās pazemes tirdzniecības vietās. Nodrošinot bezmaksas piekļuvi sarežģītai ļaunprogrammatūrai, kā arī detalizētas pamācības, platforma ievērojami pazemina iekļūšanas barjeras topošajiem kibernoziedzniekiem. Papildu iespēja nozagt Minecraft kontus vēl vairāk palielina tās pievilcību jaunāku lietotāju vidū, padarot kampaņu īpaši bīstamu un efektīvu.
No kibernoziegumiem līdz kibermobingam
Pētnieki ir novērojuši arī satraucošu kampaņas sociālo dimensiju. Daudzi klienti, šķiet, ir pusaudži un jauni pieaugušie, kuri izmanto ļaunprogrammatūras attālās piekļuves funkcijas, lai iebiedētu, vajātu un uzraudzītu upurus.
Izmeklētāji dokumentēja gadījumus, kad uzbrucēji slepeni ierakstīja upurus, izmantojot kompromitētas tīmekļa kameras, un vēlāk kopīgoja videoierakstu Telegram kanālā kā tā sauktās “trofejas”. Šāda rīcība izceļ to, kā tādas ļaunprogrammatūras platformas kā Weedhack ne tikai veicina tradicionālos kibernoziegumus, bet arī ļauj īstenot mērķtiecīgu kibermobingu un digitālu vajāšanu.
