Una nuova campagna malware sta prendendo di mira i giocatori di Minecraft sfruttando YouTube e tecniche di SEO poisoning per indirizzare traffico verso siti malevoli che distribuiscono file infetti. La minaccia, nota come Weedhack, si presenta come client e mod di Minecraft e funziona con un modello malware as a service, abbassando la soglia di ingresso per chi vuole colpire altri utenti.
Sono stati individuati migliaia di file JAR dannosi e centinaia di URL usati per la distribuzione, con video dimostrativi che spingono al download di presunti strumenti utili per il gioco.
Infrastruttura e pannello di controllo
Al centro dell’operazione c’è un pannello di controllo accessibile via web che consente ai criminali di consultare credenziali rubate, informazioni di sistema e di monitorare da remoto i dispositivi compromessi. La piattaforma permette anche di generare payload personalizzati per specifiche versioni di Minecraft e persino di inserire il malware dentro mod legittime, rendendo più difficile per l’utente capire dove nasce l’infezione.
Catena di attacco
La catena di attacco parte da un file JAR scaricato dal sito truffaldino. Dopo l’esecuzione, il malware recupera informazioni sul server di comando e controllo usando un meccanismo di risoluzione basato su blockchain, utile a rendere più resiliente l’infrastruttura. In seguito vengono scaricati altri moduli Java che raccolgono dati del sistema, modificano impostazioni di sicurezza come esclusioni di Microsoft Defender, instaurano persistenza e attivano funzioni di accesso remoto.
Funzionalità: versione gratuita e premium
Il servizio offre una versione gratuita con funzionalità da infostealer, capace di rubare sessioni di Minecraft, dati da launcher, screenshot, cookie e password da numerosi browser, oltre a credenziali di app come Discord e Steam e dati di wallet crypto. La versione premium aggiunge controllo remoto avanzato con keylogging, shell, condivisione schermo, upload e download di file e accesso alla webcam. In alcuni casi queste funzioni vengono usate anche per cyberbullismo, con minacce e molestie verso le vittime.
Diffusione e impatto
Le infezioni risultano distribuite in vari paesi, inclusa l’Italia, e confermano come contenuti pirata, mod non ufficiali e download suggeriti da video possano trasformarsi in un vettore efficace per malware e furto account.