Los investigadores de ciberseguridad han detectado una nueva campaña dirigida a los jugadores de Minecraft a través de YouTube en un intento de difundir malware que pueda tomar el control de los sistemas de las víctimas.
Una campaña de malware como servicio (MaaS) centrada en Minecraft, con el nombre en código Weedhack de McAfee Labs, dice que la operación ha estado activa desde enero de 2026 e infecta a los usuarios haciéndose pasar por clientes y mods de Minecraft. En total, identificamos 3820 archivos JAR maliciosos únicos y más de 240 URL involucradas en la distribución de malware.
«Esta campaña utiliza el envenenamiento de SEO y YouTube para generar tráfico a estas URL maliciosas», dijo el investigador de seguridad Aayush Tyagi. «También encontramos dos canales de YouTube y varios videos que muestran mods y clientes de Minecraft y redirigen a los espectadores a estas URL».
En el centro de esta campaña se encuentra un panel de nivel empresarial (“weedhack(.)to”). Esto permite a los clientes ver las credenciales robadas y la información del sistema, así como monitorear de forma remota los sistemas comprometidos. Además de inyectar malware en mods legítimos de Minecraft, los delincuentes también pueden crear cargas útiles personalizadas dirigidas a las versiones de Minecraft 1.21.0 a 1.21.11.
El punto de partida del ataque es un archivo JAR malicioso (‘DonutDupe.jar’) que se descarga de un sitio web malicioso. Luego, este archivo recupera los detalles del dominio del servidor de comando y control (C2) utilizando una técnica conocida llamada EtherHiding, que utiliza la cadena de bloques Ethereum como un solucionador de caídas muertas.
En la siguiente etapa, el malware se conecta al servidor C2 y recupera otra carga útil JAR basada en Java (‘Elevator.jar’). Esta carga útil recopila información del sistema, configura exclusiones de Microsoft Defender y actúa como un conducto para eliminar dos cargas útiles JAR adicionales. La tercera carga útil JAR (‘SecurityManager.jar’) establece la persistencia y actúa como preparador para el componente final (‘Component.jar’) que implementa la funcionalidad de acceso remoto.
Los actores de amenazas detrás de las herramientas utilizan los canales de Telegram para promocionar sus productos, transmitir actualizaciones y brindar atención al cliente. Este canal tiene más de 850 miembros. Esta herramienta consta de dos capas.
gratis. Incluye un completo ladrón de información que puede apuntar a ID de sesión de Minecraft y cuatro lanzadores de Minecraft. Haz una captura de pantalla. Recopila archivos, información del sistema, cookies y contraseñas de 36 navegadores web diferentes, datos de 56 billeteras de criptomonedas basadas en navegador y 12 aplicaciones de billetera de escritorio, y credenciales para Discord, Steam y Telegram. Premium comienza en $ 4,99 por mes ($ 24,99 para una licencia perpetua) y proporciona funciones adicionales de acceso remoto, como acceso a cámara web, registro de teclas, ejecución de shell inverso, uso compartido de pantalla con acceso a teclado y mouse, y carga y descarga de archivos.
La cadena de ataque gira en torno al envenenamiento de SEO y un video de YouTube con una descripción que incluye un enlace a un cliente malicioso de Minecraft para apuntar a usuarios desprevenidos. La mayoría de las infecciones por Weedhack se han confirmado en Estados Unidos, seguido de Alemania, India, Reino Unido, Italia, Vietnam, Canadá, Noruega, Suecia, Finlandia y España.
«Una de las características clave que hace que Weedhack sea único es que está alojado en una red transparente y proporciona acceso gratuito a malware sofisticado», dijo Tyagi. «Esta diferencia de costos y la facilidad de acceso con tutoriales detallados sobre cómo usar el malware reduce significativamente la barrera de entrada para clientes potenciales. Además, su capacidad para robar cuentas de Minecraft atrae a una audiencia más joven. Ambos elementos se complementan entre sí, haciendo que la campaña sea más letal».
McAfee Labs dijo que también observó que este malware actúa como un desencadenante del ciberacoso. El malware supuestamente permite a los clientes que parecen ser adolescentes o adultos jóvenes utilizar capacidades de acceso remoto para amenazar, acosar o monitorear a las víctimas. Encontraron una manera de grabar a sus víctimas a través de cámaras web y compartieron los videos como «trofeos» en su canal de Telegram.
CountLoader ofrece cripto clipper
La revelación se produce cuando la firma de ciberseguridad arroja luz sobre una campaña masiva de CountLoader que estima ha comprometido 86.000 máquinas únicas. CountLoader es un cargador de JavaScript que normalmente se distribuye a través de sitios de distribución de software pirateados. Se sabe que implementa varias cargas útiles, incluidas Cobalt Strike, AdaptixC2, PureHVNC RAT, Amatera Stealer y PureMiner.
Se dice que aproximadamente 9.000 de estas infracciones se deben a malware propagado a través de unidades USB o medios extraíbles. McAfee Research dijo que India tenía el mayor número de infecciones, seguida de Indonesia, Estados Unidos y varios países del sudeste asiático, y agregó que pudo hundir con éxito la infraestructura de comunicación del malware registrando dominios C2 falsos.
La compañía afirma que «la infección comienza cuando se ejecuta el archivo EXE». «Este archivo inicia un comando de PowerShell para descargar y ejecutar un cargador de JavaScript ofuscado conocido como CountLoader. El cargador se ejecuta usando ‘mshta.exe'».
Una vez que se ejecuta CountLoader, configura la persistencia, se comunica con el servidor C2, intenta propagarse a través de una unidad USB y espera más instrucciones del servidor C2 para descargar y ejecutar la carga útil. La carga útil final implementada en la última ronda de ataques es el malware Cryptocurrency Clipper, que secuestra el contenido del portapapeles y redirige las transacciones de criptomonedas.
El contenido pirateado conduce a mineros de criptomonedas
Los hallazgos también siguen al descubrimiento de una campaña de varios años que utilizó sitios ilegales de transmisión de películas y programas de televisión para distribuir mineros de criptomonedas bajo la apariencia de actualizaciones falsas de complementos de reproductores de video. La actualización falsa descarga un archivo ZIP y utiliza la descarga de DLL para colocar una bifurcación de SilentCryptoMiner.
Este malware tiene una amplia gama de funciones.
Configure las exclusiones de Defender, cierre la herramienta de eliminación de software malicioso de Microsoft y desactive los modos de hibernación y suspensión automáticos para maximizar el tiempo de ejecución potencial del minero en su dispositivo. Activa las solicitudes de Control de cuentas de usuario (UAC) repetidamente hasta que el proceso se ejecuta correctamente con privilegios elevados. Inicia el componente de vigilancia que garantiza el funcionamiento ininterrumpido del minero. Ejecuta un agente RAT que proporciona funcionalidad de control remoto, como ejecutar comandos arbitrarios, iniciar archivos EXE usando ‘explorer.exe’ y ejecutar shellcode. Inicie un minero de CPU y GPU basado en XMRig.
«El archivo contenía el archivo ejecutable legítimo HLS Installer.874.exe junto con la DLL maliciosa. Al iniciar el EXE se activó el mecanismo de descarga de la DLL, que inyectó el módulo malicioso en el proceso del programa legítimo y ejecutó el código dentro de su contexto», dijo Kaspersky. «La biblioteca contenía lógica para implementar el minero y establecer persistencia en el dispositivo».
Se considera que esta actividad es una continuación de una campaña documentada por NTT Security en abril de 2023 para eliminar a los mineros mediante advertencias falsas de fallos del navegador.
«Los atacantes están utilizando una variedad de sitios, desde bibliotecas en línea hasta plataformas de transmisión de películas y programas de televisión», dijo Kaspersky. «No sabemos qué canales utilizarán para distribuir archivos maliciosos en el futuro, pero este incidente demuestra que los usuarios que visitan sitios web pirateados siguen representando un grave riesgo».
Source link
