Chiến dịch phần mềm độc hại WeedHack

Các nhà nghiên cứu an ninh mạng đã phát hiện ra một chiến dịch phần mềm độc hại tinh vi nhắm vào người chơi Minecraft, sử dụng việc thao túng YouTube và công cụ tìm kiếm để lây nhiễm phần mềm độc hại có khả năng chiếm quyền kiểm soát hệ thống của người dùng.

Chiến dịch này, được theo dõi dưới tên gọi Weedhack, đã hoạt động từ tháng 1 năm 2026. Các tác nhân đe dọa ngụy trang phần mềm độc hại dưới dạng các ứng dụng và bản mod của Minecraft, dụ dỗ người dùng tải xuống các tệp bị nhiễm. Các nhà nghiên cứu đã xác định được 3.820 tệp JAR độc hại khác nhau và hơn 240 URL liên quan đến việc phát tán phần mềm độc hại.

Để tối đa hóa phạm vi tiếp cận, chiến dịch này dựa vào các kỹ thuật làm sai lệch SEO và nội dung trên YouTube quảng bá các bản mod Minecraft được cho là hợp pháp. Các nhà điều tra đã xác định được nhiều video và ít nhất hai kênh YouTube hướng người xem đến các trang web tải xuống độc hại.

Một nền tảng tội phạm chuyên nghiệp đứng sau chiến dịch này.

Cốt lõi của hoạt động này là một bảng điều khiển nâng cao được lưu trữ trên weedhack.to, cung cấp cho tội phạm mạng quyền truy cập vào thông tin đăng nhập bị đánh cắp, thông tin hệ thống và khả năng giám sát các thiết bị bị xâm nhập. Nền tảng này cũng cho phép khách hàng tạo ra các phần mềm độc hại tùy chỉnh nhắm mục tiêu vào các phiên bản Minecraft từ 1.21.0 đến 1.21.11 và thậm chí chèn mã độc vào các bản mod Minecraft hợp pháp.

Hệ sinh thái phần mềm độc hại được tiếp thị thông qua một kênh Telegram với hơn 850 thành viên. Kênh này đóng vai trò là trung tâm quảng cáo dịch vụ, phân phối các bản cập nhật và cung cấp hỗ trợ khách hàng cho người dùng nền tảng.

Chuỗi lây nhiễm hoạt động như thế nào?

Cuộc tấn công bắt đầu khi nạn nhân tải xuống một tệp JAR độc hại có tên DonutDupe.jar từ một trong những trang web lừa đảo. Sau khi được thực thi, tệp này sẽ truy xuất thông tin máy chủ điều khiển (C2) thông qua EtherHiding, một kỹ thuật tận dụng chuỗi khối Ethereum như một bộ giải quyết điểm nhận dữ liệu bí mật.

Sau đó, phần mềm độc hại liên hệ với cơ sở hạ tầng C2 và tải xuống một payload thứ hai dựa trên Java có tên là Elevator.jar. Thành phần này thu thập thông tin hệ thống, tạo các ngoại lệ cho Microsoft Defender và chuẩn bị hệ thống để triển khai thêm phần mềm độc hại.

Một payload thứ ba, SecurityManager.jar, thiết lập khả năng duy trì hoạt động trên thiết bị bị nhiễm và đóng vai trò là thành phần trung gian. Cuối cùng, Component.jar được phân phối, cho phép chức năng truy cập từ xa, cung cấp cho kẻ tấn công quyền kiểm soát rộng rãi đối với các hệ thống bị xâm nhập.

Các phần mềm độc hại miễn phí và trả phí

Nền tảng Weedhack được cung cấp thông qua hai cấp độ đăng ký:

Gói miễn phí : Bao gồm một công cụ đánh cắp thông tin mạnh mẽ có khả năng thu thập ID phiên Minecraft, dữ liệu từ bốn trình khởi chạy Minecraft, ảnh chụp màn hình, tệp tin, thông tin hệ thống, cookie trình duyệt, mật khẩu từ 36 trình duyệt web, thông tin từ 56 ví tiền điện tử dựa trên trình duyệt và 12 ứng dụng ví trên máy tính để bàn, cũng như thông tin đăng nhập liên quan đến Discord, Steam và Telegram.
Gói Cao cấp : Có giá từ 4,99 đô la mỗi tháng hoặc 24,99 đô la cho giấy phép trọn đời, phiên bản này bổ sung các tính năng truy cập từ xa nâng cao như giám sát webcam, ghi nhật ký thao tác bàn phím, thực thi shell ngược, chia sẻ màn hình với điều khiển bàn phím và chuột, và khả năng truyền tệp.
Phạm vi toàn cầu và rào cản gia tăng đối với tội phạm mạng

Hầu hết các ca nhiễm được ghi nhận ở Hoa Kỳ, tiếp theo là Đức, Ấn Độ, Vương quốc Anh, Ý, Việt Nam, Canada, Na Uy, Thụy Điển, Phần Lan và Tây Ban Nha.

Đặc điểm nổi bật của Weedhack là nó được cung cấp công khai trên mạng internet chứ không phải các chợ đen ngầm. Bằng cách cung cấp quyền truy cập miễn phí vào phần mềm độc hại tinh vi cùng với các hướng dẫn chi tiết, nền tảng này đã giảm đáng kể rào cản gia nhập cho những kẻ muốn trở thành tội phạm mạng. Khả năng đánh cắp tài khoản Minecraft càng làm tăng sức hấp dẫn của nó đối với người dùng trẻ tuổi, khiến chiến dịch này trở nên đặc biệt nguy hiểm và hiệu quả.

Từ tội phạm mạng đến bắt nạt trên mạng

Các nhà nghiên cứu cũng đã quan sát thấy một khía cạnh xã hội đáng báo động trong chiến dịch này. Nhiều khách hàng dường như là thanh thiếu niên và người trẻ tuổi đang lợi dụng các tính năng truy cập từ xa của phần mềm độc hại để đe dọa, quấy rối và theo dõi nạn nhân.

Các nhà điều tra đã ghi nhận những trường hợp kẻ tấn công bí mật ghi hình nạn nhân thông qua webcam bị xâm nhập và sau đó chia sẻ đoạn phim trên kênh Telegram như những "chiến lợi phẩm" thu được. Hành vi này cho thấy các nền tảng phần mềm độc hại như Weedhack không chỉ tạo điều kiện cho tội phạm mạng truyền thống mà còn cho phép bắt nạt trực tuyến và quấy rối kỹ thuật số có chủ đích.