WeedHack-malwarecampagne
Onderzoekers op het gebied van cyberbeveiliging hebben een geavanceerde malwarecampagne ontdekt die gericht is op Minecraft-spelers. De campagne maakt gebruik van manipulatie van YouTube en zoekmachines om gebruikers te infecteren met malware die hun systemen kan overnemen.
De operatie, die bekendstaat onder de naam Weedhack, is actief sinds januari 2026. De daders vermommen kwaadaardige software als Minecraft-clients en -mods, waardoor gebruikers worden verleid om geïnfecteerde bestanden te downloaden. Onderzoekers hebben 3.820 unieke kwaadaardige JAR-bestanden en meer dan 240 URL's geïdentificeerd die betrokken zijn bij de verspreiding van de malware.
Om een zo groot mogelijk bereik te behalen, maakt de campagne gebruik van SEO-manipulatietechnieken en YouTube-content die zogenaamd legitieme Minecraft-modificaties promoot. Onderzoekers hebben al meerdere video's en minstens twee YouTube-kanalen gevonden die kijkers doorverwijzen naar schadelijke downloadsites.
Inhoudsopgave
Een professioneel crimineel platform staat achter de campagne.
De kern van de operatie is een geavanceerd dashboard op weedhack.to, dat cybercriminelen toegang geeft tot gestolen inloggegevens, systeeminformatie en monitoringmogelijkheden voor gecompromitteerde apparaten. Het platform stelt klanten ook in staat om aangepaste malware te genereren die gericht is op Minecraft-versies 1.21.0 tot en met 1.21.11 en zelfs kwaadaardige code te injecteren in legitieme Minecraft-modificaties.
Het malware-ecosysteem wordt gepromoot via een Telegram-kanaal met meer dan 850 leden. Het kanaal fungeert als een centrale plek voor het adverteren van de dienst, het verspreiden van updates en het bieden van klantondersteuning aan gebruikers van het platform.
Hoe de infectieketen werkt
De aanval begint wanneer een slachtoffer een kwaadaardig JAR-bestand met de naam DonutDupe.jar downloadt van een van de frauduleuze websites. Na uitvoering haalt het bestand informatie op van de Command-and-Control (C2)-server via EtherHiding, een techniek die de Ethereum-blockchain gebruikt als een dead-drop resolver.
De malware neemt vervolgens contact op met de C2-infrastructuur en downloadt een tweede, op Java gebaseerde payload genaamd Elevator.jar. Deze component verzamelt systeeminformatie, maakt uitzonderingen aan voor Microsoft Defender en bereidt het systeem voor op verdere malware-implementatie.
Een derde payload, SecurityManager.jar, zorgt voor persistentie op het geïnfecteerde apparaat en fungeert als een tussenliggende component. Ten slotte wordt Component.jar afgeleverd, waarmee de functionaliteit voor toegang op afstand wordt ingeschakeld, wat aanvallers uitgebreide controle geeft over gecompromitteerde systemen.
Gratis en betaalde malware-aanbiedingen
Het Weedhack-platform wordt aangeboden via twee abonnementsniveaus:
Gratis versie : Bevat een krachtige tool voor het stelen van informatie waarmee Minecraft-sessie-ID's, gegevens van vier Minecraft-launchers, screenshots, bestanden, systeeminformatie, browsercookies, wachtwoorden van 36 webbrowsers, informatie van 56 browsergebaseerde cryptocurrency-wallets en 12 desktopwallet-applicaties, evenals inloggegevens voor Discord, Steam en Telegram kunnen worden verzameld.
Premium-versie : Deze versie is beschikbaar vanaf $4,99 per maand of $24,99 voor een levenslange licentie en voegt geavanceerde functies voor toegang op afstand toe, zoals webcambewaking, keylogging, reverse shell-uitvoering, schermdeling met toetsenbord- en muisbediening en mogelijkheden voor bestandsoverdracht.
Wereldwijd bereik en een lagere drempel voor cybercriminaliteit
De meeste besmettingen zijn geregistreerd in de Verenigde Staten, gevolgd door Duitsland, India, het Verenigd Koninkrijk, Italië, Vietnam, Canada, Noorwegen, Zweden, Finland en Spanje.
Een kenmerkend aspect van Weedhack is de beschikbaarheid op het openbare internet in plaats van op verborgen underground marktplaatsen. Door gratis toegang te bieden tot geavanceerde malware, samen met gedetailleerde handleidingen, verlaagt het platform de drempel voor aspirant-cybercriminelen aanzienlijk. De extra mogelijkheid om Minecraft-accounts te stelen vergroot de aantrekkingskracht op jongere gebruikers, waardoor de campagne bijzonder gevaarlijk en effectief is.
Van cybercriminaliteit tot cyberpesten
Onderzoekers hebben ook een alarmerende sociale dimensie aan de campagne geconstateerd. Veel gebruikers blijken tieners en jongvolwassenen te zijn die de functies voor toegang op afstand van de malware misbruiken om slachtoffers te intimideren, lastig te vallen en te bespioneren.
Onderzoekers documenteerden gevallen waarin aanvallers slachtoffers heimelijk filmden via gehackte webcams en de beelden later als zogenaamde 'trofeeën' deelden op een Telegram-kanaal. Dit gedrag laat zien hoe malwareplatforms zoals Weedhack niet alleen traditionele cybercriminaliteit faciliteren, maar ook gerichte cyberpesten en digitale intimidatie mogelijk maken.
