WeedHack恶意软件活动
网络安全研究人员发现了一项针对 Minecraft 玩家的复杂恶意软件攻击活动,该活动利用 YouTube 和搜索引擎操纵来感染用户,使其感染能够控制其系统的恶意软件。
该行动代号为 Weedhack,自 2026 年 1 月起一直活跃。攻击者将恶意软件伪装成 Minecraft 客户端和模组,诱骗用户下载受感染的文件。研究人员已识别出 3820 个独特的恶意 JAR 文件和 240 多个与恶意软件传播相关的 URL。
为了最大限度地扩大影响范围,该活动依赖于搜索引擎优化(SEO)投毒技术和推广看似合法的Minecraft模组的YouTube内容。调查人员已经发现多个视频和至少两个YouTube频道,这些视频和频道会将观众引导至恶意下载网站。
目录
这场运动背后是一个专业的犯罪平台
该行动的核心是一个托管在 weedhack.to 上的高级控制面板,它为网络犯罪分子提供访问被盗凭证、系统信息以及监控受损设备的权限。该平台还允许客户生成针对 Minecraft 1.21.0 至 1.21.11 版本的定制恶意软件载荷,甚至可以将恶意代码注入到合法的 Minecraft 模组中。
该恶意软件生态系统通过一个拥有超过 850 名成员的 Telegram 频道进行推广。该频道充当着服务广告中心、更新发布平台以及为平台用户提供客户支持的中心。
感染链的运作方式
攻击始于受害者从某个欺诈网站下载名为 DonutDupe.jar 的恶意 JAR 文件。该文件一旦执行,便会通过 EtherHiding 技术(一种利用以太坊区块链作为死信箱解析器的技术)获取命令与控制 (C2) 服务器信息。
恶意软件随后会联系C2基础设施,并下载第二个基于Java的有效载荷,名为Elevator.jar。该组件会收集系统信息,创建Microsoft Defender排除项,并为后续恶意软件的部署做好准备。
第三个有效载荷 SecurityManager.jar 会在受感染的设备上建立持久化,并充当临时组件。最后,Component.jar 会被交付,从而启用远程访问功能,使攻击者能够对受感染的系统进行广泛的控制。
免费和付费恶意软件产品
Weedhack平台提供两种订阅级别:
免费版:包含一个强大的信息窃取器,能够收集 Minecraft 会话 ID、来自四个 Minecraft 启动器的数据、屏幕截图、文件、系统信息、浏览器 cookie、来自 36 个网络浏览器的密码、来自 56 个基于浏览器的加密货币钱包和 12 个桌面钱包应用程序的信息,以及与 Discord、Steam 和 Telegram 关联的凭据。
高级版:每月 4.99 美元起,或终身许可证 24.99 美元起,此版本增加了高级远程访问功能,例如网络摄像头监控、键盘记录、反向 shell 执行、带键盘和鼠标控制的屏幕共享以及文件传输功能。
全球覆盖范围和更低的网络犯罪门槛
美国记录的感染病例最多,其次是德国、印度、英国、意大利、越南、加拿大、挪威、瑞典、芬兰和西班牙。
Weedhack 的一个显著特点是它公开存在于互联网上,而非隐藏的地下市场。该平台免费提供复杂的恶意软件以及详细的教程,大大降低了网络犯罪分子的准入门槛。此外,它还能窃取 Minecraft 账号,这进一步增强了其对年轻用户的吸引力,使该犯罪活动格外危险且有效。
从网络犯罪到网络欺凌
研究人员还观察到该攻击活动存在令人担忧的社会层面。许多用户似乎是青少年和年轻成年人,他们利用恶意软件的远程访问功能来恐吓、骚扰和监视受害者。
调查人员记录了一些案例,攻击者通过被入侵的网络摄像头秘密录制受害者的视频,然后将这些视频作为所谓的“战利品”分享到 Telegram 频道上。这种行为凸显了像 Weedhack 这样的恶意软件平台不仅助长了传统的网络犯罪,而且还助长了有针对性的网络欺凌和数字骚扰。
