Pesquisadores de cibersegurança identificaram uma nova campanha voltada a jogadores de Minecraft que usa o YouTube para disseminar malware capaz de assumir o controle dos sistemas das vítimas.
Batizada de Weedhack pela McAfee Labs, a campanha de malware-as-a-service, ou MaaS, foi observada em atividade desde janeiro de 2026.
Segundo a empresa, ela se passa por clientes e mods de Minecraft para infectar usuários.
Ao todo, foram identificados 3.820 arquivos JAR maliciosos exclusivos e mais de 240 URLs responsáveis pela distribuição do malware.
“Essa campanha usa envenenamento de SEO e o YouTube para gerar tráfego para essas URLs maliciosas”, disse o pesquisador de segurança Aayush Tyagi.
“Também foram encontrados dois canais no YouTube e vários vídeos que demonstram mods e clientes de Minecraft e redirecionam os espectadores para essas URLs.”
No centro da operação está um painel de nível corporativo em weedhack[.]to, que permite aos clientes visualizar credenciais roubadas e informações do sistema, além de acompanhar remotamente os sistemas comprometidos.
A plataforma também permite criar payloads personalizados que podem atingir versões do Minecraft de 1.21.0 a 1.21.11, além de injetar o malware em mods legítimos do jogo.
O ponto de partida do ataque é um arquivo JAR malicioso, chamado DonutDupe.jar, baixado de sites maliciosos.
Em seguida, o arquivo obtém detalhes do domínio do servidor de command and control, ou C2, usando uma técnica conhecida como EtherHiding, que utiliza a blockchain Ethereum como resolvedor de dead drop.
Na etapa seguinte, o malware se comunica com o servidor C2 para buscar outro payload em JAR baseado em Java, o Elevator.jar, que coleta informações do sistema, configura exclusões no Microsoft Defender e serve como ponte para a entrega de dois payloads JAR adicionais.
O terceiro arquivo, SecurityManager.jar, estabelece persistência e atua como carregador para o componente final, Component.jar, que implanta os recursos de acesso remoto.
Os threat actors por trás do kit usam um canal no Telegram para divulgar suas ferramentas piratas, publicar atualizações e oferecer suporte ao cliente.
O canal tem mais de 850 membros.
A ferramenta, por sua vez, é oferecida em duas versões.
A versão Free inclui um infostealer completo, capaz de atingir IDs de sessão do Minecraft e quatro launchers do jogo, capturar capturas de tela e roubar arquivos, informações do sistema, cookies e senhas de 36 navegadores diferentes, dados de 56 carteiras de criptomoedas baseadas em navegador e 12 apps de carteira para desktop, além de credenciais do Discord, Steam e Telegram.
A versão Premium, que custa US$ 4,99 por mês ou US$ 24,99 por uma licença vitalícia, adiciona recursos de acesso remoto, como acesso à webcam, keylogging, execução de reverse shell, compartilhamento de tela com controle de teclado e mouse e envio e download de arquivos.
As cadeias de ataque se apoiam em envenenamento de SEO e em vídeos no YouTube cujas descrições trazem links incorporados para clientes maliciosos de Minecraft, com o objetivo de atingir usuários desavisados.
A maioria das infecções por Weedhack foi identificada nos Estados Unidos, seguida por Alemanha, Índia, Reino Unido, Itália, Vietnã, Canadá, Noruega, Suécia, Finlândia e Espanha.
“Uma das principais características que tornam o Weedhack único é que ele está hospedado na superfície aberta da internet e oferece acesso gratuito a malware sofisticado”, disse Tyagi.
“Essa diferença de custo e a facilidade de acesso, somadas a tutoriais detalhados sobre como usar o malware, reduzem significativamente a barreira de entrada para possíveis clientes.
Além disso, a capacidade de roubar contas de Minecraft atrai um público mais jovem.
Esses dois fatores se complementam e tornam a campanha muito mais perigosa.”
A McAfee Labs informou ainda ter observado o malware sendo usado como gatilho para cyberbullying.
Nesses casos, os clientes, que aparentam ser adolescentes e jovens adultos, usam os recursos de acesso remoto para ameaçar, assediar e monitorar as vítimas.
A empresa encontrou uma forma de gravar as vítimas por meio das webcams, e os vídeos foram compartilhados no canal do Telegram como “troféus”.
A divulgação também ocorre enquanto a empresa de cibersegurança detalha uma campanha de grande escala do CountLoader, que teria comprometido 86.000 máquinas exclusivas.
O CountLoader é um carregador em JavaScript normalmente distribuído por sites de distribuição de software crackeado.
Ele é conhecido por implantar diversos payloads, como Cobalt Strike, AdaptixC2, PureHVNC RAT, Amatera Stealer e PureMiner.
Desses comprometimentos, cerca de 9.000 infecções teriam resultado da propagação do malware por meio de drives USB e mídias removíveis.
A McAfee Labs afirmou que o maior número de infecções foi observado na Índia, seguido por Indonésia, Estados Unidos e vários países do sudeste asiático.
A empresa acrescentou que conseguiu neutralizar a infraestrutura de comunicação do malware por meio da criação de um domínio falso de C2.
“A infecção começa quando um arquivo EXE é executado”, informou a empresa.
“Esse arquivo inicia um comando PowerShell, que baixa e executa um carregador obfuscado em JavaScript conhecido como CountLoader.
O carregador é executado usando mshta.exe.”
Depois de executado, o CountLoader estabelece persistência, se comunica com o servidor C2, tenta se espalhar por drives USB e aguarda novas instruções do servidor para baixar e executar payloads.
O payload final implantado no conjunto mais recente de ataques é um malware do tipo clipper de criptomoedas, que sequestra o conteúdo da área de transferência para redirecionar transações.
As descobertas também surgem após a identificação de uma campanha de anos que usou sites ilegais de streaming de filmes e séries para distribuir um miner de criptomoedas disfarçado de atualização falsa para um plugin de reprodutor de vídeo.
A atualização falsa baixa um arquivo ZIP, que então usa DLL side-loading para carregar uma variante do SilentCryptoMiner.
O malware vem equipado com uma ampla gama de recursos.
Ele consegue configurar exclusões no Defender, encerrar a Ferramenta de Remoção de Software Malicioso da Microsoft e desativar a hibernação automática e o modo de suspensão para maximizar o tempo de execução do miner no dispositivo.
Também é capaz de acionar repetidamente prompts do Controle de Conta de Usuário, ou UAC, até que o processo seja executado com privilégios elevados.
Além disso, inicia um componente de vigilância que garante a operação contínua do miner, executa um agente RAT que oferece recursos de controle remoto, como execução de comandos arbitrários, abertura de arquivos EXE usando o explorer.exe e execução de shellcode, e ainda dispara um miner de CPU e GPU baseado no XMRig.
“O arquivo compactado continha um executável legítimo, HLS Installer.874.exe, junto com uma DLL maliciosa.
A execução do EXE acionava um mecanismo de DLL side-loading, injetando o módulo malicioso em um processo legítimo e executando código em seu contexto”, disse a Kaspersky.
“A biblioteca continha a lógica para implantar o miner e estabelecer persistência no dispositivo.”
A avaliação é de que a atividade dá continuidade a uma campanha documentada pela NTT Security em abril de 2023, que usava alertas falsos de falha do navegador para instalar o miner.
“Os threat actors exploram uma variedade de sites, de bibliotecas online a plataformas de streaming de filmes e séries”, afirmou a Kaspersky.
“Não há como prever quais canais serão usados no futuro para distribuir o arquivo malicioso.
No entanto, o caso atual mostra que usuários que acessam sites piratas continuam correndo um risco sério.”
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...