Cybersecurity-onderzoekers hebben een nieuwe campagne gelanceerd die zich richt op Minecraft-spelers via YouTube om malware te verspreiden die controle kan krijgen over de systemen van slachtoffers.
De op Minecraft gerichte Malware-as-a-Service (MaaS)-campagne heeft de codenaam gekregen Onkruidhack door McAfee Labs, waarin staat dat de activiteit actief is sinds januari 2026 en zich voordoet als Minecraft-clients en mods om gebruikers te infecteren. In totaal zijn er 3820 unieke kwaadaardige JAR-bestanden en meer dan 240 URL’s geïdentificeerd die verantwoordelijk zijn voor de verspreiding van de malware.
“Deze campagne maakt gebruik van SEO-vergiftiging en YouTube om verkeer naar deze kwaadaardige URL’s te genereren”, aldus beveiligingsonderzoeker Aayush Tyagi. “We hebben ook twee YouTube-kanalen en meerdere video’s gevonden die Minecraft Mods en Clients demonstreren en kijkers naar deze URL’s doorverwijzen.”
Centraal in de campagne staat een dashboard op bedrijfsniveau (“weedhack(.)to”) waarmee klanten gestolen inloggegevens en systeeminformatie kunnen bekijken, en op afstand de gecompromitteerde systemen in de gaten kunnen houden. Bovendien kunnen criminelen aangepaste payloads maken die zich kunnen richten op Minecraft-versies 1.21.0 tot 1.21.11, om nog maar te zwijgen van het injecteren van de malware in legitieme Minecraft-mods.
Het startpunt van de aanval is een kwaadaardig JAR-bestand (“DonutDupe.jar”) dat is gedownload van de kwaadwillende websites. Het bestand haalt vervolgens details op van het command-and-control (C2) serverdomein met behulp van een bekende techniek genaamd EtherHiding, die de Ethereum-blockchain gebruikt als een dead drop-resolver.
In de volgende fase neemt de malware contact op met de C2-server om een andere op Java gebaseerde JAR-payload op te halen (“Elevator.jar”) die systeeminformatie verzamelt, Microsoft Defender-uitsluitingen configureert en dient als kanaal voor het verwijderen van twee extra JAR-payloads. De derde JAR-payload (“SecurityManager.jar”) zorgt voor persistentie en fungeert als stager voor de laatste component (“Component.jar”) die de functies voor externe toegang implementeert.
De bedreigingsactoren achter de tool maken gebruik van een Telegram-kanaal om reclame te maken voor hun warez, updates uit te zenden en klantenondersteuning te bieden. Het kanaal heeft meer dan 850 leden. De tool bestaat op zijn beurt uit twee lagen:
- Gratis, inclusief een uitgebreide infostealer die zich kan richten op Minecraft-sessie-ID’s en vier Minecraft-draagraketten; schermafbeeldingen maken; en verzamel bestanden, systeeminformatie, cookies en wachtwoorden van 36 verschillende webbrowsers, gegevens van 56 browsergebaseerde cryptocurrency-wallets en 12 desktop wallet-apps, en inloggegevens voor Discord, Steam en Telegram.
- Premium, dat begint bij $4,99 per maand (of $24,99 voor een levenslange licentie) en extra mogelijkheden voor externe toegang biedt, zoals webcamtoegang, keylogging, reverse shell-uitvoering, scherm delen met toetsenbord- en muistoegang, en het uploaden en downloaden van bestanden.
Aanvalsketens draaien om SEO-vergiftiging en YouTube-video’s met beschrijvingen die links naar kwaadaardige Minecraft Clients insluiten om nietsvermoedende gebruikers te targeten. Het merendeel van de Weedhack-infecties is vastgesteld in de VS, gevolgd door Duitsland, India, Groot-Brittannië, Italië, Vietnam, Canada, Noorwegen, Zweden, Finland en Spanje.
“Een van de belangrijkste kenmerken die Weedhack uniek maakt, is dat het wordt gehost op het clear net en gratis toegang biedt tot geavanceerde malware”, aldus Tyagi. “Dit verschil in kosten en toegangsgemak met gedetailleerde tutorials over het gebruik van de malware vermindert de toetredingsdrempel voor potentiële klanten aanzienlijk. Bovendien trekt het vermogen om Minecraft-accounts te stelen een jonger publiek aan. Beide factoren vullen elkaar aan en maken de campagne veel dodelijker.”
McAfee Labs zei dat het ook heeft waargenomen dat de malware fungeert als een trigger voor cyberpesten, waarbij de klanten, die tieners en jonge volwassenen lijken te zijn, de mogelijkheden voor externe toegang bewapenen om hun slachtoffers te bedreigen, lastig te vallen en in de gaten te houden. Ze hebben een manier gevonden om slachtoffers via hun webcams op te nemen en de video’s op het Telegram-kanaal te delen als ‘trofeeën’.
CountLoader levert Crypto Clipper
De onthulling komt op het moment dat het cyberbeveiligingsbedrijf licht werpt op een grootschalige CountLoader-campagne die naar schatting 86.000 unieke machines heeft aangetast. CountLoader is een JavaScript-lader die doorgaans wordt verspreid via gekraakte softwaredistributiesites. Het is bekend dat het verschillende payloads inzet, zoals Cobalt Strike, AdaptixC2, PureHVNC RAT, Amatera Stealer en PureMiner.
Van deze compromissen zouden ongeveer 9.000 infecties het gevolg zijn van de verspreiding van malware via USB-drives en verwijderbare media. McAfee Labs zei dat het hoogste aantal infecties werd waargenomen in India, gevolgd door Indonesië, de VS en verschillende landen in Zuidoost-Azië, en voegde eraan toe dat het met succes de malware-communicatie-infrastructuur kon laten zinken door een nep C2-domein te registreren.
“De infectie begint wanneer een EXE-bestand wordt uitgevoerd”, aldus het bedrijf. “Dit bestand lanceert een PowerShell-opdracht, die een versluierde JavaScript-lader downloadt en uitvoert, bekend als CountLoader. De lader wordt uitgevoerd met behulp van ‘mshta.exe.'”
Eenmaal uitgevoerd, stelt CountLoader persistentie in, communiceert met de C2-server, probeert zich te verspreiden via USB-drives en wacht op verdere instructies van de C2-server om payloads te downloaden en uit te voeren. De laatste lading die bij de laatste reeks aanvallen wordt ingezet, is een cryptocurrency-clipper-malware die de inhoud van het klembord kaapt om cryptocurrency-transacties om te leiden.
Illegale inhoud leidt tot cryptocurrency-mijnwerkers
De bevindingen volgen ook op de ontdekking van een jarenlange campagne waarbij illegale sites voor het streamen van films en tv-programma’s zijn gebruikt om een cryptocurrency-mijnwerker te verspreiden onder het mom van een nep-update voor een plug-in voor een videospeler. De nep-update downloadt een ZIP-archief, dat vervolgens DLL side-loading gebruikt om een fork van SilentCryptoMiner te droppen.
De malware is uitgerust met een breed scala aan mogelijkheden:
- Configureer Defender-uitsluitingen, beëindig de Malicious Software Removal Tool van Microsoft en schakel de automatische slaap- en slaapmodus uit om de potentiële runtime van de mijnwerker op het apparaat te maximaliseren.
- Activeer herhaaldelijk de prompts voor Gebruikersaccountbeheer (UAC) totdat het proces succesvol is uitgevoerd met verhoogde rechten.
- Start een watchdog-component die de ononderbroken werking van de mijnwerker garandeert.
- Voer een RAT-agent uit die mogelijkheden voor afstandsbediening biedt, waaronder het uitvoeren van willekeurige opdrachten, het starten van EXE-bestanden met behulp van “explorer.exe” en het uitvoeren van shellcode.
- Start een XMRig-gebaseerde CPU en een GPU-mijnwerker.
“Het archief bevatte een legitiem uitvoerbaar bestand, HLS Installer.874.exe, naast een kwaadaardige DLL. Het starten van de EXE activeerde een DLL-zijlaadmechanisme, waarbij de kwaadaardige module in een legitiem programmaproces werd geïnjecteerd en code binnen zijn context werd uitgevoerd”, aldus Kaspersky. “De bibliotheek bevatte de logica voor het inzetten van de mijnwerker en het tot stand brengen van persistentie op het apparaat.”
Er wordt geoordeeld dat de activiteit een voortzetting is van een campagne die in april 2023 door NTT Security werd gedocumenteerd, waarbij valse browsercrashwaarschuwingen werden gebruikt om de mijnwerker te laten vallen.
“De bedreigingsactoren maken gebruik van een verscheidenheid aan sites, variërend van onlinebibliotheken tot streamingplatforms voor films en tv-programma’s”, aldus Kaspersky. “Het is niet te zeggen welke kanalen ze in de toekomst zullen gebruiken om het kwaadaardige archief te verspreiden. Uit de huidige zaak blijkt echter dat gebruikers die illegale websites bezoeken een ernstig risico blijven nemen.”
