A Minecraft-játékosokat célzó WeedHack malware-as-a-service (MaaS) modellben működő információlopó kártevő január óta aktív, terjesztéséhez pedig a játékhoz köthető rosszindulatú klienseket, segédprogramokat és különböző csalási módszereket használnak az elkövetők.
A McAfee kiberbiztonsági cég adatai szerint a WeedHack közel 116 464 játékost érintett, ami átlagosan napi 2000 – 3000 fertőzést jelent. A legtöbb áldozatát az Egyesült Államokból, Németországból, Indiából és az Egyesült Királyságból szedte. A kártevő több mint 240 terjesztési URL-t és 3820 egyedi rosszindulatú JAR-fájlt foglal magába.
A jelentés szerint a kártevő főként a Minecraft játékhoz kapcsolódó eszközöket népszerűsítő YouTube videókon és SEO-mérgezésen keresztül éri el áldozatait. A támadók letöltési linkeket helyeznek el a – meglehetősen hitelesnek tűnő – YouTube videók leírásában vagy gyakran keresett Minecraft cheat/mod kliensek kulcsszavaira optimalizált hamis weboldalakat hoznak létre. Ezek a weboldalak sokszor egy biztonsági üzenetet is megjelenítenek, amiben arra figyelmeztetik az áldozatokat, hogy a „Skytils”-t kizárólag hivatalos oldalról töltsék le, emellett gyakran legitim GitHub-repozitóriumokra és Discord-szerverekre mutató hivatkozásokat is tartalmaznak, ezzel növelve a hamis weboldalak hitelességét.
A WeedHack rendhagyó módon egy olyan rosszindulatú platform, ami a nyílt internetről is elérhető. A felhasználók a dashboardon láthatnak egy összefoglalót az áldozataikról, a fertőzött eszközökről, az ellopott adatokról, illetve a Minecraft 1.21.0 és 1.21.10 közötti verzióihoz elérhető payload builderről. A kártevő ingyenes verziója képes a munkamenet-sütik és mentett jelszavak ellopására 36 böngészőből, 56 kriptovaluta-kiegészítőből, 12 asztali kriptovaluta-pénztárca alkalmazásból, beleértve a Discord, Steam és Telegram hitelesítő adatokat, ráadásul képernyőképek készítésére is alkalmas. A prémium verzió havi 5 dolláros előfizetéssel használható, vagy egyszeri 24,99 dolláros díjért vásárolható meg, ami távoli vezérlést biztosít a bemeneti eszközökhöz (egér és billentyűzet), valamint webkamera-hozzáférést, billentyűnaplózást, távoli shellkódok futtatását és fájlkezelést tesz lehetővé a céleszközökön. A McAfee szerint a projekthez tartozó Telegram csatornának több mint 800 tagja van, köztük sokan tinédzserek vagy fiatal felnőttek.
A Minecraft-játékosok számára javasolt kizárólag a hivatalos projektoldalakról letölteni a modokat és klienseket, valamint minden esetben ellenőrizni a letöltési hivatkozások hitelességét.