Пријави инцидент
Пријави инцидент

Weedhack ги напаѓа корисниците на Minecraft, CountLoader зарази 86.000 системи, а крипто-рударите се шират преку пиратска содржина

Објавено: 03.06.2026

Истражувачите за сајбер-безбедност открија нова кампања насочена кон играчите на Minecraft преку YouTube, со цел ширење на малициозен софтвер (malware) способен да преземе контрола врз системите на жртвите.

Кампањата „Malware-as-a-Service“ (MaaS), фокусирана на Minecraft и наречена Weedhack од страна на McAfee Labs, е активна од јануари 2026 година. Таа се претставува како легитимни Minecraft клиенти и модови за да ги инфицира корисниците. Досега се идентификувани 3.820 уникатни злонамерни JAR-датотеки и повеќе од 240 URL-адреси преку кои се дистрибуира малициозниот софтвер.

„Оваа кампања користи SEO-манипулација (SEO poisoning) и YouTube за да генерира сообраќај кон злонамерните URL-адреси“, изјави истражувачот за безбедност Ајуш Тјаги. „Исто така пронајдовме два YouTube канали и повеќе видеа кои прикажуваат Minecraft модови и клиенти и ги пренасочуваат гледачите кон овие адреси.“

Во центарот на кампањата се наоѓа професионална контролна табла („weedhack[.]to“) која им овозможува на клиентите да ги прегледуваат украдените акредитиви и системски информации, како и далечински да ги следат компромитираните системи. Дополнително, платформата им овозможува на криминалците да креираат прилагодени малициозни товари (payloads) кои можат да ги таргетираат верзиите на Minecraft од 1.21.0 до 1.21.11, па дури и да го вметнат малициозниот код во легитимни Minecraft модови.

Нападот започнува со злонамерна JAR-датотека наречена „DonutDupe.jar“, која се презема од малициозните веб-страници. Потоа датотеката ги добива информациите за доменот на командно-контролниот (C2) сервер користејќи техника позната како EtherHiding, која го користи Ethereum блокчејнот како механизам за прикриено доставување на информации.

Во следната фаза, малициозниот софтвер комуницира со C2 серверот за да преземе уште еден Java-базиран JAR товар наречен „Elevator.jar“, кој собира системски информации, конфигурира исклучоци во Microsoft Defender и служи како канал за инсталирање на уште два дополнителни JAR товари. Третиот товар, „SecurityManager.jar“, обезбедува постојаност на инфекцијата и служи како подготвителна фаза за финалната компонента „Component.jar“, која ги активира можностите за далечински пристап.

Актерите кои стојат зад оваа алатка користат Telegram канал за рекламирање на својот софтвер, објавување ажурирања и обезбедување корисничка поддршка. Каналот има повеќе од 850 членови. Алатката се нуди во две верзии:

Бесплатна верзија (Free) – вклучува напреден инфостилер кој може да краде Minecraft сесиски ID-а и податоци од четири Minecraft лаунчери; да снима екрани; и да собира датотеки, системски информации, колачиња и лозинки од 36 различни веб-прелистувачи, податоци од 56 крипто-паричници базирани во прелистувач и 12 десктоп крипто-паричници, како и акредитиви за Discord, Steam и Telegram.

Премиум верзија (Premium) – започнува од 4,99 долари месечно (или 24,99 долари за доживотна лиценца) и нуди дополнителни можности за далечински пристап, вклучувајќи пристап до веб-камерата, снимање на притиснати копчиња (keylogging), извршување на reverse shell команди, споделување на екранот со контрола преку тастатура и глушец, како и поставување и преземање датотеки.

Синџирите на напад најчесто се потпираат на SEO-манипулација и YouTube видеа чии описи содржат линкови до малициозни Minecraft клиенти со цел да ги измамат корисниците. Најголем број инфекции со Weedhack се регистрирани во САД, а потоа следуваат Германија, Индија, Обединетото Кралство, Италија, Виетнам, Канада, Норвешка, Шведска, Финска и Шпанија.

„Една од клучните карактеристики што го прави Weedhack уникатен е тоа што е достапен на јавниот интернет (clear net) и нуди пристап до софистициран малициозен софтвер бесплатно“, изјави Ајуш Тјаги.

„Оваа разлика во цената и лесниот пристап, заедно со деталните упатства за користење на малициозниот софтвер, значително ја намалуваат бариерата за влез за потенцијалните корисници. Дополнително, неговата способност да краде Minecraft сметки привлекува помлада публика. Овие два фактори меѓусебно се надополнуваат и ја прават кампањата многу поопасна.“

Од McAfee Labs истакнуваат дека забележале и случаи во кои малициозниот софтвер се користи како алатка за сајбер-малтретирање (cyberbullying). Клиентите, кои според анализите најчесто се тинејџери и млади возрасни лица, ги злоупотребуваат можностите за далечински пристап за да им се закануваат, да ги вознемируваат и да ги следат своите жртви.

Истражувачите откриле дека напаѓачите успеале да снимаат жртви преку нивните веб-камери, а потоа тие снимки ги објавувале на Telegram каналот како „трофеи“.

CountLoader испорачува крипто-клипер

Откритијата доаѓаат во време кога компанијата за сајбер-безбедност објави детали за голема кампања поврзана со CountLoader, за која се проценува дека компромитирала околу 86.000 уникатни уреди.

CountLoader е JavaScript-базиран „loader“ кој најчесто се дистрибуира преку веб-страници што нудат пиратски или „cracked“ софтвер. Познат е по тоа што испорачува различни малициозни товари (payloads), меѓу кои:

  • Cobalt Strike
  • AdaptixC2
  • PureHVNC RAT
  • Amatera Stealer
  • PureMiner

Од сите компромитации, приближно 9.000 инфекции се резултат на ширење преку USB-уреди и други преносливи медиуми.

Според McAfee Labs, најголем број инфекции биле забележани во Индија, по што следуваат Индонезија, САД и повеќе земји од Југоисточна Азија. Истражувачите успеале да ја неутрализираат комуникациската инфраструктура на малициозниот софтвер преку регистрација на лажен C2 (Command-and-Control) домен, со што го пренасочиле сообраќајот кон контролирана средина за анализа.

Како функционира инфекцијата со CountLoader?

„Инфекцијата започнува кога се извршува EXE-датотека“, соопшти компанијата.

„Оваа датотека активира PowerShell команда која презема и извршува замаглен (обфусциран) JavaScript loader познат како CountLoader. Loader-от потоа се извршува преку процесот ‘mshta.exe’.“

По активирањето, CountLoader може да преземе и инсталира дополнителен малициозен софтвер, вклучувајќи алатки за далечински пристап, кражба на податоци, крипто-рударење и компромитирање на системот.

CountLoader краде криптовалути, а пиратската содржина шири крипто-рударски малициозен софтвер

Откако ќе се изврши, CountLoader воспоставува механизми за постојаност (persistence), комуницира со командно-контролниот (C2) сервер, се обидува да се шири преку USB-уреди и чека дополнителни инструкции за преземање и извршување на нови малициозни товари.

Во најновите напади, крајниот товар што го испорачува CountLoader е криптовалутен клипер (cryptocurrency clipper) – вид малициозен софтвер кој ја следи содржината на clipboard-от и ги заменува копираните криптовалутни адреси со адреси контролирани од напаѓачите. На тој начин, средствата што жртвата сака да ги испрати завршуваат во паричникот на криминалците.

Пиратската содржина како средство за ширење крипто-рударски софтвер

Наодите доаѓаат и по откривањето на повеќегодишна кампања која користела нелегални веб-страници за стриминг на филмови и телевизиски серии за ширење на крипто-рударски малициозен софтвер.

Напаѓачите се претставувале како легитимна надградба за видео-плеер додаток (plugin). Лажната надградба преземала ZIP-архива која потоа користела техника позната како DLL side-loading за да инсталира модифицирана верзија на SilentCryptoMiner.

Можности на малициозниот софтвер

Овој малициозен софтвер поседува широк спектар на функции:

  • Конфигурира исклучоци во Microsoft Defender.
  • Ја прекинува работата на Microsoft Malicious Software Removal Tool.
  • Ги оневозможува автоматските режими за мирување (sleep mode) и хибернација за да го максимизира времето на работа на рударот.
  • Постојано прикажува User Account Control (UAC) барања сè додека не добие административни привилегии.
  • Активира „watchdog“ компонента која обезбедува непречена работа на рударот.
  • Извршува RAT (Remote Access Trojan) агент кој овозможува далечинска контрола на системот.
  • Може да извршува произволни команди.
  • Може да стартува EXE-датотеки преку „explorer.exe“.
  • Може да извршува shellcode.
  • Активира CPU рудар базиран на XMRig.
  • Активира и GPU рудар за дополнително искористување на хардверските ресурси.

Како се одвива инфекцијата?

Според Kaspersky, архивата содржела легитимна извршна датотека наречена „HLS Installer.874.exe“, заедно со злонамерна DLL-библиотека.

„Стартувањето на EXE-датотеката го активираше механизмот DLL side-loading, со што малициозниот модул беше вчитан во процесот на легитимна програма и извршен во нејзиниот контекст“, соопштија од Kaspersky.

„DLL-библиотеката ја содржеше логиката за инсталирање на крипто-рударот и воспоставување постојаност на уредот.“

Овој пристап им овозможува на напаѓачите да го сокријат малициозниот код во легитимни процеси, што значително го отежнува неговото откривање од страна на антивирусните решенија и безбедносните алатки.

Се проценува дека оваа активност претставува продолжение на кампања која беше документирана од страна на NTT Security во април 2023 година. Во таа кампања, напаѓачите користеле лажни предупредувања за пад (crash) на веб-прелистувачот за да го инсталираат крипто-рударскиот малициозен софтвер.

„Напаѓачите користат различни типови веб-страници, почнувајќи од онлајн библиотеки па сè до платформи за стриминг на филмови и телевизиски серии“, соопштија од Kaspersky.

„Не може со сигурност да се предвиди кои канали ќе ги користат во иднина за дистрибуција на малициозната архива. Сепак, овој случај уште еднаш покажува дека корисниците кои посетуваат пиратски веб-страници продолжуваат да се изложуваат на сериозен безбедносен ризик.“

Заклучок

Најновите истражувања покажуваат дека сајбер-криминалците сè почесто ги користат:

  • пиратските веб-страници,
  • нелегалните стриминг платформи,
  • лажните ажурирања на софтвер,
  • Minecraft модови и клиенти,
  • YouTube видеа и SEO-манипулација,

како механизми за ширење на малициозен софтвер.

Последиците можат да бидат сериозни и да вклучуваат:

  • кражба на лозинки и лични податоци,
  • кражба на криптовалути,
  • преземање далечинска контрола врз компјутерот,
  • злоупотреба на веб-камерата,
  • крипто-рударење без знаење на корисникот,
  • сајбер-малтретирање и следење на жртвите.

Експертите препорачуваат корисниците да избегнуваат пиратски содржини и нелегални извори за преземање софтвер, да користат ажурирани безбедносни решенија и да бидат внимателни кон сите неочекувани барања за инсталација на додатоци, ажурирања или извршни датотеки.

Извори:

  • The Hacker News – Weedhack Attacks Minecraft Users, CountLoader Hits 86K, Miners Spread via Pirated Content The Hacker News