Campania de malware WeedHack
Cercetătorii în domeniul securității cibernetice au descoperit o campanie sofisticată de malware care viza jucătorii de Minecraft, folosind YouTube și manipularea motoarelor de căutare pentru a infecta utilizatorii cu programe malware capabile să preia controlul sistemelor lor.
Operațiunea, urmărită sub numele Weedhack, este activă din ianuarie 2026. Actorii amenințători deghizează software-ul rău intenționat în clienți și moduri Minecraft, atrăgând utilizatorii să descarce fișiere infectate. Cercetătorii au identificat 3.820 de fișiere JAR rău intenționate unice și peste 240 de adrese URL implicate în distribuirea malware-ului.
Pentru a maximiza acoperirea, campania se bazează pe tehnici de otrăvire SEO și pe conținut YouTube care promovează modificări Minecraft presupus legitime. Anchetatorii au identificat deja mai multe videoclipuri și cel puțin două canale YouTube care direcționează spectatorii către site-uri de descărcare rău intenționate.
Cuprins
O platformă profesională pentru infracțiuni în spatele campaniei
În centrul operațiunii se află un tablou de bord avansat găzduit pe weedhack.to, care oferă infractorilor cibernetici acces la acreditări furate, informații despre sistem și capacități de monitorizare a dispozitivelor compromise. Platforma permite, de asemenea, clienților să genereze sarcini malware personalizate care vizează versiunile de Minecraft 1.21.0 până la 1.21.11 și chiar să injecteze cod malițios în modificări legitime ale Minecraft.
Ecosistemul de programe malware este comercializat printr-un canal Telegram cu peste 850 de membri. Canalul servește drept hub pentru promovarea serviciului, distribuirea actualizărilor și oferirea de asistență clienților utilizatorilor platformei.
Cum funcționează lanțul de infecție
Atacul începe atunci când o victimă descarcă un fișier JAR malițios numit DonutDupe.jar de pe unul dintre site-urile web frauduloase. Odată executat, fișierul preia informații de pe serverul Command-and-Control (C2) prin EtherHiding, o tehnică ce utilizează blockchain-ul Ethereum ca un rezolver dead-drop.
Apoi, malware-ul contactează infrastructura C2 și descarcă o a doua sarcină utilă bazată pe Java, cunoscută sub numele de Elevator.jar. Această componentă colectează informații despre sistem, creează excluderi Microsoft Defender și pregătește sistemul pentru implementarea suplimentară de malware.
O a treia sarcină utilă, SecurityManager.jar, stabilește persistența pe dispozitivul infectat și acționează ca o componentă de testare. În cele din urmă, este livrat Component.jar, activând funcționalitatea de acces la distanță ce oferă atacatorilor control extins asupra sistemelor compromise.
Oferte de programe malware gratuite și premium
Platforma Weedhack este oferită prin două niveluri de abonament:
Nivel gratuit : Include un instrument puternic de furt de informații, capabil să colecteze ID-uri de sesiune Minecraft, date de la patru lansatoare Minecraft, capturi de ecran, fișiere, informații de sistem, cookie-uri de browser, parole de la 36 de browsere web, informații de la 56 de portofele de criptomonede bazate pe browser și 12 aplicații de portofel desktop, precum și acreditări asociate cu Discord, Steam și Telegram.
Nivel Premium : Disponibilă de la 4,99 USD pe lună sau 24,99 USD pentru o licență pe viață, această versiune adaugă funcții avansate de acces de la distanță, cum ar fi supravegherea prin cameră web, înregistrarea tastelor, execuția inversă a shell-ului, partajarea ecranului cu ajutorul tastaturii și mouse-ului și capacități de transfer de fișiere.
Acoperire globală și o barieră mai mică în calea criminalității cibernetice
Cele mai multe infecții au fost înregistrate în Statele Unite, urmate de Germania, India, Regatul Unit, Italia, Vietnam, Canada, Norvegia, Suedia, Finlanda și Spania.
O caracteristică definitorie a Weedhack este disponibilitatea sa pe web, mai degrabă decât pe piețe subterane ascunse. Prin oferirea de acces gratuit la programe malware sofisticate, alături de tutoriale detaliate, platforma reduce semnificativ bariera de acces pentru aspiranții infractori cibernetici. Capacitatea suplimentară de a fura conturi Minecraft îi sporește și mai mult atractivitatea în rândul utilizatorilor mai tineri, făcând campania deosebit de periculoasă și eficientă.
De la criminalitatea cibernetică la hărțuirea cibernetică
Cercetătorii au observat, de asemenea, o dimensiune socială alarmantă a campaniei. Mulți clienți par a fi adolescenți și tineri adulți care exploatează funcțiile de acces de la distanță ale malware-ului pentru a intimida, hărțui și monitoriza victimele.
Anchetatorii au documentat cazuri în care atacatorii au înregistrat în secret victimele prin intermediul unor camere web compromise și ulterior au distribuit imaginile pe canalul Telegram ca așa-numite „trofee”. Acest comportament evidențiază modul în care platformele malware precum Weedhack nu numai că facilitează criminalitatea cibernetică tradițională, ci permit și hărțuirea cibernetică țintită și hărțuirea digitală.
