WeedHack惡意軟體活動
網路安全研究人員發現了一項針對 Minecraft 玩家的複雜惡意軟體攻擊活動,該活動利用 YouTube 和搜尋引擎操縱來感染用戶,使其感染能夠控制其係統的惡意軟體。
該行動代號為 Weedhack,自 2026 年 1 月起一直活躍。攻擊者將惡意軟體偽裝成 Minecraft 用戶端和模組,誘騙用戶下載受感染的檔案。研究人員已識別出 3820 個獨特的惡意 JAR 檔案和 240 多個與惡意軟體傳播相關的 URL。
為了最大限度地擴大影響範圍,該活動依賴搜尋引擎優化(SEO)投毒技術和推廣看似合法的Minecraft模組的YouTube內容。調查人員已經發現多個影片和至少兩個YouTube頻道,這些影片和頻道會將觀眾引導至惡意下載網站。
目錄
這場運動背後是一個專業的犯罪平台
該行動的核心是一個託管在 weedhack.to 上的高級控制面板,它為網路犯罪分子提供存取被盜憑證、系統資訊以及監控受損設備的權限。該平台還允許客戶產生針對 Minecraft 1.21.0 至 1.21.11 版本的客製化惡意軟體負載,甚至可以將惡意程式碼注入到合法的 Minecraft 模組中。
該惡意軟體生態系統透過一個擁有超過 850 名成員的 Telegram 頻道進行推廣。該頻道充當服務廣告中心、更新發布平台以及為平台用戶提供客戶支援的中心。
感染鏈的運作方式
攻擊始於受害者從某個詐騙網站下載名為 DonutDupe.jar 的惡意 JAR 檔案。該檔案一旦執行,便會透過 EtherHiding 技術(一種利用以太坊區塊鏈作為死信箱解析器的技術)來獲取命令與控制 (C2) 伺服器資訊。
惡意軟體隨後會聯絡C2基礎設施,並下載第二個基於Java的有效載荷,名為Elevator.jar。此元件會收集系統訊息,建立Microsoft Defender排除項,並為後續惡意軟體的部署做好準備。
第三個有效載荷 SecurityManager.jar 會在受感染的裝置上建立持久化,並充當臨時元件。最後,Component.jar 會被交付,從而啟用遠端存取功能,使攻擊者能夠對受感染的系統進行廣泛的控制。
免費和付費惡意軟體產品
Weedhack平台提供兩種訂閱等級:
免費版:包含一個強大的資訊竊取器,能夠收集 Minecraft 會話 ID、來自四個 Minecraft 啟動器的資料、螢幕截圖、文件、系統資訊、瀏覽器 cookie、來自 36 個網路瀏覽器的密碼、來自 56 個基於瀏覽器的加密貨幣錢包和 12 個桌面錢包應用程式的信息,以及與 Discord、Steam 和 Telegram 關聯的憑證。
高級版:每月 4.99 美元起,或終身許可證 24.99 美元起,此版本增加了高級遠端存取功能,例如網路攝影機監控、鍵盤記錄、反向 shell 執行、帶鍵盤和滑鼠控制的螢幕共享以及檔案傳輸功能。
全球覆蓋範圍和更低的網路犯罪門檻
美國記錄的感染病例最多,其次是德國、印度、英國、義大利、越南、加拿大、挪威、瑞典、芬蘭和西班牙。
Weedhack 的一個顯著特徵是它公開存在於網路上,而非隱藏的地下市場。該平台免費提供複雜的惡意軟體以及詳細的教程,大大降低了網路犯罪分子的進入門檻。此外,它還可以竊取 Minecraft 帳號,這進一步增強了其對年輕用戶的吸引力,使該犯罪活動格外危險且有效。
從網路犯罪到網路霸凌
研究人員也觀察到該攻擊活動存在令人擔憂的社會層面。許多用戶似乎是青少年和年輕成年人,他們利用惡意軟體的遠端存取功能來恐嚇、騷擾和監視受害者。
調查人員記錄了一些案例,攻擊者透過被入侵的網路攝影機秘密錄製受害者的視頻,然後將這些影片作為所謂的「戰利品」分享到 Telegram 頻道上。這種行為凸顯了像 Weedhack 這樣的惡意軟體平台不僅助長了傳統的網路犯罪,而且還助長了有針對性的網路霸凌和數位騷擾。
