WeedHack-kampanje mot skadelig programvare
Forskere innen nettsikkerhet har avdekket en sofistikert skadevarekampanje rettet mot Minecraft-spillere, som bruker YouTube og manipulering av søkemotorer for å infisere brukere med skadevare som er i stand til å ta kontroll over systemene deres.
Operasjonen, som spores under navnet Weedhack, har vært aktiv siden januar 2026. Trusselaktører kamuflerer skadelig programvare som Minecraft-klienter og mods, og lokker brukere til å laste ned infiserte filer. Forskere har identifisert 3820 unike skadelige JAR-filer og mer enn 240 URL-er involvert i distribusjonen av skadelig programvare.
For å maksimere rekkevidden bruker kampanjen SEO-forgiftningsteknikker og YouTube-innhold som promoterer angivelig legitime Minecraft-modifikasjoner. Etterforskere har allerede identifisert flere videoer og minst to YouTube-kanaler som leder seere til ondsinnede nedlastingssider.
Innholdsfortegnelse
En profesjonell kriminell plattform bak kampanjen
Kjernen i operasjonen er et avansert dashbord på weedhack.to, som gir nettkriminelle tilgang til stjålne legitimasjonsopplysninger, systeminformasjon og overvåkingsmuligheter for kompromitterte enheter. Plattformen lar også kunder generere tilpassede skadevarenyttelaster rettet mot Minecraft-versjoner 1.21.0 til 1.21.11 og til og med injisere skadelig kode i legitime Minecraft-modifikasjoner.
Malware-økosystemet markedsføres gjennom en Telegram-kanal med mer enn 850 medlemmer. Kanalen fungerer som et knutepunkt for å annonsere tjenesten, distribuere oppdateringer og tilby kundestøtte til brukere av plattformen.
Hvordan infeksjonskjeden fungerer
Angrepet starter når et offer laster ned en ondsinnet JAR-fil kalt DonutDupe.jar fra et av de falske nettstedene. Når den er kjørt, henter filen Command-and-Control (C2)-serverinformasjon gjennom EtherHiding, en teknikk som bruker Ethereum-blokkjeden som en dead-drop-resolver.
Skadevaren kontakter deretter C2-infrastrukturen og laster ned en ny Java-basert nyttelast kjent som Elevator.jar. Denne komponenten samler systeminformasjon, oppretter Microsoft Defender-unntak og forbereder systemet for ytterligere utrulling av skadevaren.
En tredje nyttelast, SecurityManager.jar, etablerer persistens på den infiserte enheten og fungerer som en staging-komponent. Til slutt leveres Component.jar, som muliggjør fjerntilgangsfunksjonaliteten som gir angripere omfattende kontroll over kompromitterte systemer.
Gratis og premium skadevaretilbud
Weedhack-plattformen tilbys gjennom to abonnementsnivåer:
Gratisnivå : Inkluderer en kraftig informasjonstyver som er i stand til å samle Minecraft-økt-ID-er, data fra fire Minecraft-lanseringsprogramvare, skjermbilder, filer, systeminformasjon, nettleserinformasjonskapsler, passord fra 36 nettlesere, informasjon fra 56 nettleserbaserte kryptovaluta-lommebøker og 12 skrivebordslommebokapplikasjoner, samt påloggingsinformasjon tilknyttet Discord, Steam og Telegram.
Premiumnivå : Tilgjengelig fra $4,99 per måned eller $24,99 for en livstidslisens, legger denne versjonen til avanserte fjerntilgangsfunksjoner som webkameraovervåking, tastelogging, omvendt skallkjøring, skjermdeling med tastatur- og musekontroll og filoverføringsmuligheter.
Global rekkevidde og en lavere barriere for nettkriminalitet
De fleste infeksjonene er registrert i USA, etterfulgt av Tyskland, India, Storbritannia, Italia, Vietnam, Canada, Norge, Sverige, Finland og Spania.
Et definerende kjennetegn ved Weedhack er tilgjengeligheten på det åpne nettet i stedet for skjulte underjordiske markedsplasser. Ved å tilby gratis tilgang til sofistikert skadelig programvare sammen med detaljerte veiledninger, senker plattformen inngangsbarrieren for håpefulle nettkriminelle betydelig. Den ekstra muligheten til å stjele Minecraft-kontoer øker ytterligere appellen blant yngre brukere, noe som gjør kampanjen spesielt farlig og effektiv.
Fra nettkriminalitet til nettmobbing
Forskere har også observert en alarmerende sosial dimensjon i kampanjen. Mange kunder ser ut til å være tenåringer og unge voksne som utnytter skadevarens fjerntilgangsfunksjoner for å skremme, trakassere og overvåke ofre.
Etterforskere dokumenterte tilfeller der angripere i hemmelighet filmet ofre gjennom kompromitterte webkameraer og senere delte opptakene på Telegram-kanalen som såkalte «trofeer». Denne oppførselen fremhever hvordan skadevareplattformer som Weedhack ikke bare legger til rette for tradisjonell nettkriminalitet, men også muliggjør målrettet nettmobbing og digital trakassering.
