「Weedhack」と名付けられた高度なMaaS(Malware-as-a-Service)キャンペーンが、2026年1月からMinecraftゲームコミュニティを標的に活発な活動を続けています。
脅威アクターは正規のMinecraftクライアントやMODを装い、240のURLを通じて3,820種類以上の悪意あるJARファイルを配布しています。
このキャンペーンは、攻撃的な検索エンジン最適化(SEO)ポイズニングとYouTubeのチュートリアル動画を悪用してトラフィックを誘導しており、推定で1日あたり2,000〜3,000件のアクセスを獲得しています。
感染件数は累計116,464件以上にのぼり、その被害は米国・ドイツ・インドに集中しています。Weedhackはサイバー犯罪者にとって参入障壁が極めて低く、無料の基本プランに加え、数百ドルを要する従来のステルスツールを大幅に下回る月額わずか5ドルからのプレミアムサブスクリプションを提供しています。
Weedhackキャンペーンは、巧みな誘導とSEO支配によって被害者を罠にかけています。
攻撃者は公式ドメインを持たないオープンソースのMinecraftクライアント(Meteor、Radium、Wurstなど)を標的とし、lovable.appなどのプラットフォーム上に精巧な偽サイトを構築します。
トラフィックを誘導するため、攻撃者は人間のナレーションとリアルなゲームプレイを盛り込んだ高品質なYouTubeチュートリアルを公開し、動画の概要欄やピン留めコメントに悪意あるダウンロードリンクを意図的に配置しています。
セキュリティアナリストは、この多段階型オペレーションが偽のFabric MODを通じてプレイヤーを標的とするMaaSとして販売されていることを確認しています。実行されると、初期ペイロード(通常はDonutDupe.jarのようなファイル)がjavaw.exeを介してサイレントで起動します。
この第1ステージでは「EtherHiding」と呼ばれる新たな回避手法が展開されます。これはEthereum JSON-RPCサーバーを悪用し、ブロックチェーンのスマートコントラクトからコマンド&コントロール(C2)ドメインを直接取得する手法です。
レスポンスは組み込みのRSA公開鍵で検証され、キャンペーンの乗っ取り試みを防いでいます。C2の解決後、マルウェアは第2ステージのペイロード(Elevator.jar)を取得します。このファイルはJNICによって強固に保護されており、
このJavaネイティブ難読化ツールはバイトコードを隠蔽されたネイティブCコードに変換します。このステージでは、cmstp.exeを通じて悪意あるINFスクリプトを実行することで、Windowsユーザーアカウント制御(UAC)を回避します。
さらに、スクリプト(WinDefConfig.cmd)をドロップしてWindows Defenderの実行パスを許可します。
続く追加ペイロード(SecurityManager.jarおよびComponent.jar)は、レジストリの実行キーとスケジュールタスクを通じて強固な永続化を確立します。最終的にはリモートデスクトップ機能を持つRuntimeBroker.exeと、36種類のブラウザおよび68種類の暗号資産ウォレットからデータを収集するインフォスティーラー(Telemetry.exe)が展開されます。
McAfeeの調査によれば、Weedhackは深刻なサイバーいじめの主要な温床となっています。
脅威アクターはマルウェアのプレミアムリモートアクセス機能(ライブWebカメラ映像、マイクアクセス、キーロギング、非表示での画面共有など)を駆使して、未成年の被害者を監視・嫌がらせ・脅迫しています。
攻撃者は恐喝に使用する素材を録画し、その動画をサイバー犯罪の「戦利品」として専用のTelegramチャンネルで共有しており、同チャンネルのメンバーは最近850人を超えています。
セキュリティ研究者は、攻撃者がこれらのリモートアクセスツールを悪用し、若いゲームプレイヤーを恐怖に陥れている実態を記録しています。
注意: IPアドレスおよびドメインは、誤った名前解決やハイパーリンクへのアクセスを防ぐため、意図的に無害化処理(例:[.])が施されています。MISP、VirusTotal、SIEMなどの管理された脅威インテリジェンスプラットフォーム内でのみ、元の形式に戻して使用してください。
翻訳元: https://cyberpress.org/youtube-seo-spreads-weedhack/
