Kampaň proti malvéru WeedHack

Výskumníci v oblasti kybernetickej bezpečnosti odhalili sofistikovanú malvérovú kampaň zameranú na hráčov Minecraftu, ktorá využíva YouTube a manipuláciu s vyhľadávačmi na infikovanie používateľov malvérom schopným prevziať kontrolu nad ich systémami.

Operácia sledovaná pod názvom Weedhack je aktívna od januára 2026. Páchatelia škodlivého softvéru maskujú škodlivý softvér ako klientov a mody Minecraftu a lákajú používateľov k sťahovaniu infikovaných súborov. Výskumníci identifikovali 3 820 unikátnych škodlivých súborov JAR a viac ako 240 adries URL zapojených do distribúcie škodlivého softvéru.

Aby sa maximalizoval dosah, kampaň sa spolieha na techniky SEO otravy a obsah na YouTube, ktorý propaguje údajne legitímne modifikácie Minecraftu. Vyšetrovatelia už identifikovali viacero videí a najmenej dva kanály YouTube, ktoré smerujú divákov na škodlivé stránky na sťahovanie.

Profesionálna kriminálna platforma stojaca za kampaňou

Jadrom operácie je pokročilý dashboard hostovaný na weedhack.to, ktorý poskytuje kyberzločincom prístup k ukradnutým prihlasovacím údajom, systémovým informáciám a monitorovacím funkciám pre napadnuté zariadenia. Platforma tiež umožňuje zákazníkom generovať prispôsobené užitočné dáta malvéru zamerané na verzie Minecraftu 1.21.0 až 1.21.11 a dokonca vkladať škodlivý kód do legitímnych modifikácií Minecraftu.

Ekosystém škodlivého softvéru sa propaguje prostredníctvom telegramového kanála s viac ako 850 členmi. Kanál slúži ako centrum pre reklamu služby, distribúciu aktualizácií a poskytovanie zákazníckej podpory používateľom platformy.

Ako funguje infekčný reťazec

Útok začína, keď si obeť stiahne škodlivý súbor JAR s názvom DonutDupe.jar z jednej z podvodných webových stránok. Po spustení súbor načíta informácie zo servera Command-and-Control (C2) prostredníctvom techniky EtherHiding, ktorá využíva blockchain Ethereum ako prekladač mŕtvych umiestnení.

Malvér potom kontaktuje infraštruktúru C2 a stiahne druhý dátový súbor založený na jazyku Java známy ako Elevator.jar. Tento komponent zhromažďuje systémové informácie, vytvára vylúčenia v programe Microsoft Defender a pripravuje systém na ďalšie nasadenie malvéru.

Tretí dátový súbor, SecurityManager.jar, zabezpečuje trvalosť na infikovanom zariadení a funguje ako prípravný komponent. Nakoniec sa doručí súbor Component.jar, ktorý umožňuje funkciu vzdialeného prístupu, ktorá útočníkom poskytuje rozsiahlu kontrolu nad napadnutými systémami.

Bezplatné a prémiové ponuky proti škodlivému softvéru

Platforma Weedhack je ponúkaná prostredníctvom dvoch úrovní predplatného:

Bezplatná úroveň : Zahŕňa výkonný nástroj na krádež informácií, ktorý dokáže zhromažďovať ID relácií Minecraftu, údaje zo štyroch spúšťačov Minecraftu, snímky obrazovky, súbory, systémové informácie, súbory cookie prehliadača, heslá z 36 webových prehliadačov, informácie z 56 kryptomenových peňaženiek v prehliadači a 12 desktopových aplikácií peňaženiek, ako aj prihlasovacie údaje spojené s Discordom, Steamom a Telegramom.
Prémiová úroveň : Táto verzia je dostupná od 4,99 USD mesačne alebo 24,99 USD za doživotnú licenciu a pridáva pokročilé funkcie vzdialeného prístupu, ako je dohľad nad webkamerou, zaznamenávanie stlačení klávesov, spätné vykonávanie shellu, zdieľanie obrazovky pomocou ovládania klávesnicou a myšou a možnosti prenosu súborov.
Globálny dosah a nižšia bariéra proti kyberkriminalite

Najviac infekcií bolo zaznamenaných v Spojených štátoch, nasledované Nemeckom, Indiou, Spojeným kráľovstvom, Talianskom, Vietnamom, Kanadou, Nórskom, Švédskom, Fínskom a Španielskom.

Charakteristickým znakom Weedhacku je jeho dostupnosť na prehľadnom webe a nie na skrytých podzemných trhoviskách. Poskytovaním bezplatného prístupu k sofistikovanému malvéru spolu s podrobnými návodmi platforma výrazne znižuje vstupnú bariéru pre začínajúcich kyberzločincov. Dodatočná možnosť kradnúť účty Minecraftu ešte viac zvyšuje jeho atraktivitu medzi mladšími používateľmi, vďaka čomu je kampaň obzvlášť nebezpečná a efektívna.

Od kyberkriminality ku kyberšikane

Výskumníci tiež zaznamenali alarmujúci sociálny rozmer kampane. Zdá sa, že mnohí zákazníci sú tínedžeri a mladí dospelí, ktorí zneužívajú funkcie vzdialeného prístupu malvéru na zastrašovanie, obťažovanie a monitorovanie obetí.

Vyšetrovatelia zdokumentovali prípady, v ktorých útočníci tajne nahrávali obete prostredníctvom napadnutých webových kamier a neskôr zdieľali zábery na telegramovom kanáli ako takzvané „trofeje“. Toto správanie poukazuje na to, ako platformy škodlivého softvéru, ako je Weedhack, nielen uľahčujú tradičnú kyberkriminalitu, ale umožňujú aj cielené kyberšikanu a digitálne obťažovanie.