McAfee Labs hat die Kampagne Weedhack offengelegt – eine Plattform nach dem Modell „Malware-as-a-Service“ (MaaS), die auf Minecraft-Spieler abzielt. Laut den Forschern nutzen die Angreifer YouTube-Kanäle und Suchmaschinenmanipulation (SEO poisoning), um bösartige Java-Archive zu verteilen, die als Minecraft-Mods und -Clients getarnt sind. Die Kampagne, vermutlich seit Januar 2026 aktiv, betrifft vor allem Nutzer in den USA, Deutschland, Indien und dem Vereinigten Königreich. Es wurden 3.820 einzigartige schädliche JAR-Dateien und mehr als 240 Verteilungs-URLs identifiziert. Die kostenlose Servicestufe stellt bereits einen vollwertigen Infostealer bereit, während ein Premium-Abonnement ab 4,99 US-Dollar pro Monat Funktionen für Remote-Zugriff, einschließlich Webcam-Steuerung und Keylogging, bietet.
Technische Infektionskette von Weedhack
Gemäß der Analyse von McAfee Labs beginnt der Angriff mit dem Download einer bösartigen JAR-Datei (DonutDupe.jar) von gefälschten Websites, die über SEO poisoning und Videos auf zwei identifizierten YouTube-Kanälen beworben werden. Die Videos zeigen Minecraft-Mods und -Clients, in deren Beschreibung sich Links zu den schädlichen Ressourcen befinden.
Der primäre Loader DonutDupe.jar verwendet die Technik EtherHiding
Anschließend entfaltet sich die Infektionskette schrittweise:
- Elevator.jar – zweite Stufe: Sammlung von Systeminformationen, Einrichten von Ausnahmen in Microsoft Defender, Herunterladen zweier weiterer Komponenten.
- SecurityManager.jar – Verankerung im System (Persistence) und Vorbereitung auf die Ausführung des finalen Moduls.
- Component.jar – finale Komponente mit Remote-Access-Funktionalität.
Zentrales Element der Infrastruktur ist ein Control Panel auf der Domain weedhack[.]to, das im offenen Internet gehostet wird. Es ermöglicht Kunden, gestohlene Zugangsdaten einzusehen, kompromittierte Systeme zu verfolgen und maßgeschneiderte Payloads für Minecraft-Versionen von 1.21.0 bis 1.21.11 zu erstellen. Dem Bericht zufolge ist der Service außerdem in der Lage, bösartigen Code in legitime Minecraft-Mods zu injizieren.
Monetarisierungsmodell und Funktionsumfang
Weedhack bietet ein zweistufiges Abomodell. Die kostenlose Stufe umfasst bereits ein umfangreiches Werkzeugspektrum:
- Diebstahl von Minecraft-Session-IDs und Daten aus vier Launchern
- Anfertigen von Screenshots des Bildschirms
- Extraktion von Passwörtern und Cookies aus 36 Webbrowsern
- Diebstahl von Daten aus 56 browserbasierten Kryptowallets und 12 Desktop-Wallet-Anwendungen
- Abgriff von Zugangsdaten für Discord, Steam und Telegram
Das Premium-Abo (4,99 US-Dollar/Monat oder 24,99 US-Dollar für eine lebenslange Lizenz) ergänzt: Zugriff auf die Webcam, Keylogging, eine reverse shell, Bildschirmfreigabe mit Steuerung von Tastatur und Maus sowie Hoch- und Herunterladen von Dateien. Die Betreiber bewerben den Service über einen Telegram-Kanal mit mehr als 850 Mitgliedern, über den sie ihren Kunden auch technischen Support anbieten.
Bedrohungskontext: Parallele Kampagnen
Weedhack ist nicht die einzige umfangreiche Kampagne, die Forscher in diesem Zeitraum identifiziert haben. McAfee Labs berichtete parallel über die Kampagne CountLoader – einen JavaScript-Loader, der über Websites mit piratisierter Software verbreitet wird. Schätzungen zufolge hat CountLoader rund 86.000 einzigartige Rechner kompromittiert, wobei etwa 9.000 Infektionen über USB-Datenträger erfolgten. Die meisten Infektionen wurden in Indien, Indonesien und den USA festgestellt. In den jüngsten Angriffen bestand die finale Payload aus einem Kryptowährungs-Clipper, der Wallet-Adressen in der Zwischenablage manipuliert. McAfee gelang es, die CountLoader-C2-Infrastruktur durch Registrierung einer Scheindomain zu übernehmen (sinkholing).
Separat hat Kaspersky eine mehrjährige Kampagne beschrieben, die piratische Streaming-Websites zur Verbreitung eines Forks von SilentCryptoMiner nutzt. Die Infektion erfolgt über ein gefälschtes Update für einen Videoplayer: Das ZIP-Archiv enthält eine legitime ausführbare Datei (HLS Installer.874.exe) und eine bösartige DLL, die eine DLL side-loading-Attacke auslöst. Die Malware deaktiviert Schutzmechanismen von Windows, fordert wiederholt eine Rechteerhöhung über die UAC an, setzt XMRig-Miner für CPU und GPU sowie einen RAT-Agenten für Remote-Steuerung ein. Vermutlich handelt es sich dabei um eine Fortsetzung der im April 2023 von NTT Security dokumentierten Kampagne.
Auswirkungsbewertung
Weedhack stellt aus mehreren Gründen eine besondere Bedrohung dar. Die Bereitstellung über eine öffentlich zugängliche Website (statt im Darknet), eine kostenlose Stufe mit vollwertigem Infostealer und vorhandene Schulungsmaterialien senken die Einstiegshürde drastisch für potenzielle Angreifer. Die primäre Zielgruppe von Minecraft – überwiegend Jugendliche und junge Erwachsene – verstärkt das Risiko: Die Opfer sind mit Methoden der Social Engineering oft weniger vertraut, und der Diebstahl von Gaming-Accounts schafft zusätzliche Anreize für Angreifer.
Geografisch sind Nutzer in den USA, Deutschland, Indien, dem Vereinigten Königreich, Italien, Vietnam, Kanada und den skandinavischen Ländern besonders gefährdet. Der Einsatz von EtherHiding zur Ablage von C2-Adressen in der Ethereum-Blockchain macht die Infrastruktur widerstandsfähig gegen klassische Blockierungsverfahren – die Domain kann gesperrt werden, doch die Daten in der Blockchain bleiben zugänglich.
Praktische Empfehlungen
- Mods nur aus offiziellen Quellen laden: Nutzen Sie etablierte Plattformen (CurseForge, Modrinth) mit verifizierten Autoren. Sämtliche JAR-Dateien, die über Links in YouTube-Beschreibungen heruntergeladen werden, sollten als verdächtig gelten.
- Überwachung der Ausnahmen in Microsoft Defender: Prüfen Sie die aktuellen Ausnahmen mit dem PowerShell-Befehl
Get-MpPreference | Select-Object -ExpandProperty ExclusionPath. Nicht autorisierte Einträge sind ein Hinweis auf eine Kompromittierung. - Blockieren bekannter IOC: Fügen Sie die Domain weedhack[.]to zu den Blacklists von DNS- und Proxy-Servern hinzu. Überwachen Sie Netzwerkaktivitäten, die auf Zugriffe nicht spielbezogener Prozesse auf Ethereum-Verträge hindeuten.
- Kontrolle der Ausführung von JAR-Dateien: Konfigurieren Sie AppLocker- oder WDAC-Richtlinien so, dass die Ausführung von Java-Archiven aus Benutzerverzeichnissen (Downloads, Temp, AppData) eingeschränkt wird.
- Prüfung von USB-Geräten: Im Kontext der CountLoader-Bedrohung stellen Sie sicher, dass AutoRun-/AutoPlay-Richtlinien für Wechseldatenträger deaktiviert sind.
- Aufklärungsarbeit: Organisationen mit junger Zielgruppe (Schulen, Bibliotheken) sollten gezielt über die Risiken beim Download von Mods aus nicht vertrauenswürdigen Quellen informieren.
Die drei beschriebenen Kampagnen – Weedhack, CountLoader und die Verbreitung von SilentCryptoMiner über Piratenseiten – haben einen gemeinsamen Angriffsvektor: die Ausnutzung des Vertrauens der Nutzer in kostenlosen Content. Vorrangige Maßnahme für Administratoren ist ein Audit der Defender-Ausnahmen und der Richtlinien zur Ausführung von JAR-Dateien auf Workstations, insbesondere in Umgebungen mit jungen Nutzern. Für Privatanwender besteht der wichtigste Schutz darin, Minecraft-Mods ausschließlich über offizielle Plattformen zu beziehen und konsequent auf das Öffnen von Links in YouTube-Videobeschreibungen zu verzichten.
