Campanha de malware WeedHack
Pesquisadores de segurança cibernética descobriram uma sofisticada campanha de malware direcionada a jogadores de Minecraft, usando manipulação do YouTube e de mecanismos de busca para infectar usuários com malware capaz de assumir o controle de seus sistemas.
A operação, rastreada sob o nome Weedhack, está ativa desde janeiro de 2026. Os agentes maliciosos disfarçam softwares maliciosos como clientes e mods de Minecraft, atraindo usuários para baixar arquivos infectados. Os pesquisadores identificaram 3.820 arquivos JAR maliciosos únicos e mais de 240 URLs envolvidos na distribuição do malware.
Para maximizar o alcance, a campanha utiliza técnicas de manipulação de SEO e conteúdo do YouTube que promove modificações supostamente legítimas para Minecraft. Os investigadores já identificaram vários vídeos e pelo menos dois canais do YouTube que direcionam os espectadores para sites de download maliciosos.
Índice
Uma plataforma profissional de criminosos por trás da campanha.
No cerne da operação está um painel de controle avançado hospedado em weedhack.to, que fornece aos cibercriminosos acesso a credenciais roubadas, informações do sistema e recursos de monitoramento de dispositivos comprometidos. A plataforma também permite que os clientes gerem payloads de malware personalizados direcionados às versões 1.21.0 a 1.21.11 do Minecraft e até mesmo injetem código malicioso em modificações legítimas do Minecraft.
O ecossistema de malware é comercializado através de um canal no Telegram com mais de 850 membros. O canal serve como um centro para anunciar o serviço, distribuir atualizações e oferecer suporte ao cliente aos usuários da plataforma.
Como funciona a cadeia de infecção
O ataque começa quando uma vítima baixa um arquivo JAR malicioso chamado DonutDupe.jar de um dos sites fraudulentos. Uma vez executado, o arquivo recupera informações do servidor de Comando e Controle (C2) por meio do EtherHiding, uma técnica que utiliza a blockchain Ethereum como um resolvedor de mensagens não entregues (dead-drop).
Em seguida, o malware contata a infraestrutura de comando e controle (C2) e baixa uma segunda carga útil baseada em Java, conhecida como Elevator.jar. Esse componente coleta informações do sistema, cria exclusões no Microsoft Defender e prepara o sistema para a implantação de malware adicional.
Um terceiro payload, SecurityManager.jar, estabelece persistência no dispositivo infectado e atua como um componente de preparação. Finalmente, o Component.jar é entregue, habilitando a funcionalidade de acesso remoto que concede aos atacantes amplo controle sobre os sistemas comprometidos.
Ofertas de malware gratuitas e premium
A plataforma Weedhack é oferecida em dois níveis de assinatura:
Nível Gratuito : Inclui um poderoso programa para roubar informações, capaz de coletar IDs de sessão do Minecraft, dados de quatro launchers do Minecraft, capturas de tela, arquivos, informações do sistema, cookies do navegador, senhas de 36 navegadores da web, informações de 56 carteiras de criptomoedas baseadas em navegador e 12 aplicativos de carteira para desktop, além de credenciais associadas ao Discord, Steam e Telegram.
Plano Premium : Disponível a partir de US$ 4,99 por mês ou US$ 24,99 para uma licença vitalícia, esta versão adiciona recursos avançados de acesso remoto, como vigilância por webcam, registro de teclas digitadas (keylogging), execução reversa de shell, compartilhamento de tela com controle de teclado e mouse e recursos de transferência de arquivos.
Alcance global e menor barreira ao cibercrime
A maioria das infecções foi registrada nos Estados Unidos, seguidos por Alemanha, Índia, Reino Unido, Itália, Vietnã, Canadá, Noruega, Suécia, Finlândia e Espanha.
Uma característica marcante do Weedhack é sua disponibilidade na internet aberta, em vez de mercados clandestinos. Ao fornecer acesso gratuito a malwares sofisticados, juntamente com tutoriais detalhados, a plataforma reduz significativamente a barreira de entrada para aspirantes a cibercriminosos. A capacidade adicional de roubar contas do Minecraft aumenta ainda mais seu apelo entre os usuários mais jovens, tornando a campanha particularmente perigosa e eficaz.
Do cibercrime ao ciberbullying
Os pesquisadores também observaram uma dimensão social alarmante na campanha. Muitos clientes parecem ser adolescentes e jovens adultos que estão explorando os recursos de acesso remoto do malware para intimidar, assediar e monitorar as vítimas.
Investigadores documentaram casos em que atacantes gravaram secretamente vítimas por meio de webcams comprometidas e, posteriormente, compartilharam as gravações em um canal do Telegram como se fossem "troféus". Esse comportamento evidencia como plataformas de malware como o Weedhack não apenas facilitam o cibercrime tradicional, mas também permitem o cyberbullying e o assédio digital direcionados.
