McAfeeの研究者により、「WeedHack」と名付けられたMalware-as-a-Service(MaaS)オペレーションがMinecraftユーザーを標的にしていることが明らかになりました。このオペレーションでは、脅威アクターがWebベースのダッシュボードを通じて、被害者の画面・Webカメラ・ファイルへのリモートアクセスを取得できます。
Mojang Studiosが開発し2011年にリリースされたMinecraftは、世界累計販売本数3億5,000万本超を誇る、史上最も売れたビデオゲームのひとつです。
2026年1月以降、このキャンペーンはすでに116,000台以上のシステムに感染しており、現在も1日あたり2,000〜3,000件のペースで感染が拡大し続けています。
「この攻撃に使用された悪意のあるJARファイルを3,820個以上、マルウェアの配布に関与したURLを240件以上確認しました」と研究者らは報告しています。
WeedHackの感染数が最も多いのは米国で、以下ドイツ、インド、英国、イタリア、ベトナム、カナダ、ノルウェー、スウェーデン、フィンランド、スペインの順となっています。
YouTubeを悪用した拡散とSEOポイズニング
WeedHackキャンペーンは、YouTubeを利用した配布とSEOポイズニングを組み合わせて被害者にリーチしています。
YouTubeでは、攻撃者がMinecraftのMod・クライアント・ユーティリティを紹介する動画を公開し、説明欄やコメント欄にダウンロードリンクを埋め込んでいます。中にはボイスオーバーナレーション付きのクオリティの高い動画もあり、7,500回以上再生されているものも確認されています。
悪意のあるMinecraft Modを宣伝するYouTube動画(出典:McAfee)
「WeedHackは公式サイトを持たず、GitHubなどのファイルホスティングサイトにのみ公開されているMinecraftクライアントやModを標的にしています。特にユニークな名前のModを選ぶことで、検索エンジンの結果を独占しやすくしています」とMcAfeeは説明しています。
参入障壁の低さ
WeedHackが他のマルウェアキャンペーンと一線を画しているのは、その手軽さにあります。このプラットフォームはクリアウェブ上でホストされており、高度なマルウェアを無料で利用できます。
Lumma StealerやX-WormといったMaaSサービスは通常、月額数百ドルの料金が必要であり、アンダーグラウンドフォーラム・ダークウェブのマーケットプレイス・Telegramチャンネルを通じてライフタイムサブスクリプションを購入する形式が一般的です。一方、WeedHackはマルウェアを無料で提供しており、プレミアム機能は月額5ドルから、ライフタイムアクセスは24.99ドルで利用できます。
無料プランには、MinecraftのセッションIDおよび4種類のMinecraftランチャーを標的とするインフォスティーラーが含まれており、システム情報の収集や36種類のブラウザからのCookie・パスワードの窃取が可能です。
また、ブラウザベースの暗号資産ウォレット56種類およびデスクトップ暗号資産ウォレット12種類も攻撃対象となっており、Discord・Steam・Telegramの認証情報も窃取されます。さらに24種類の定義済みキーワードを用いた感染システムの検索や、侵害されたデバイスからのスクリーンショット取得も可能です。
プレミアムサブスクリプションでは、Webカメラアクセス・キーストロークロギング・リバースシェル実行・キーボード/マウス操作を含む画面共有・ファイルのアップロード/ダウンロードツールなど、リモートアクセス機能がすべて解放されます。
ツール、チュートリアル、感染状況のトラッキング
オペレーションの中核をなすのはWebベースのダッシュボードで、顧客は侵害されたシステムから収集したデータにアクセスできます。被害者プロフィールにはスクリーンショット・システム情報・IPアドレス・ユーザー名・コンピュータ名・窃取された認証情報が含まれており、アカウント乗っ取りに使用されるMinecraftセッションのヒット数は専用セクションで追跡されます。
プラットフォームにはペイロードビルダーも搭載されており、バージョン1.21.0〜1.21.11を対象とした正規のMinecraft Modへのマルウェア注入が可能です。また、10分ごとに更新されるリーダーボードを通じて、累計および直近24時間の感染統計を確認することもできます。
ポータル上には、マルウェアの配布方法・オペレーショナルセキュリティの実践・リモートアクセス機能・窃取された認証情報・VPNおよびプロキシサービス・トラブルシューティングに関するドキュメントも用意されています。
要望ページでは、ユーザーが機能リクエストを投稿したり提案された機能に投票したりすることができ、ランサムウェア機能・マイクアクセス・追加のMinecraftクライアントへの対応といったリクエストが寄せられています。
アカウント窃取や認証情報のハーベスティングにとどまらず、このプラットフォームはサイバーいじめの温床にもなっているとみられています。オペレーションのTelegramチャンネルには850名以上のメンバーが参加しており、10代や20代の若者がWeedHackのリモートアクセスツールを使って被害者を監視・脅迫・嫌がらせしていることを示す活動が確認されています。
McAfeeは、最近投稿されたMinecraftツールを紹介するYouTube動画、公式サイト以外でホストされているダウンロードファイル、インストール前にウイルス対策ソフトの無効化を求めるリクエストには十分に注意するよう、ユーザーに呼びかけています。
翻訳元: https://www.helpnetsecurity.com/2026/06/03/weedhack-minecraft-malware-campaign/
