Weedhackは、Minecraftプレイヤーを狙うことに特化して設計されたMalware-as-a-Service(MaaS)オペレーションであり、少なくとも2026年1月から活動を続けています。
このサービスは、認証情報の窃取、暗号資産ウォレットの抜き取り、アカウントの乗っ取り、そして完全なリモートアクセス機能を低コストのサブスクリプション型サービスに集約し、SEOポイズニング、YouTube上での宣伝活動、および偽のMinecraft MODサイトを通じて販売されています。
洗練された配布戦術と分散型インフラの取得機能、さらにカスタマー向けダッシュボードを組み合わせることで、Weedhackは技術的な参入障壁を大幅に引き下げ、初心者の脅威アクターでも容易に利用できる環境を整えています。その結果、特に若年層ユーザーを含むゲームコミュニティ全体における脅威レベルが高まっています。
技術分析によると、Weedhackは主に人気のMinecraftクライアントやMODを装ったトロイの木馬化されたJava Archive(JAR)ファイルを配布しています。
実行されると、マルウェアはコンソールを隠すためにjavaw.exeとして再起動し、埋め込まれた設定データを読み取り、EthereumのJSON-RPCエンドポイント、スマートコントラクト識別子、および埋め込みRSA公開鍵を復号します。
これにより、実行ファイルはEthereumスマートコントラクトにリアルタイムのC2(コマンド&コントロール)エンドポイントを問い合わせ、レスポンスを暗号学的に検証することが可能となります。この耐障害性メカニズムにより、テイクダウン作業は大幅に複雑化します。
GBhackersと共有されたPolyswarmのレポートでは、32の異なるJSON-RPCエンドポイントが報告されており、このエコシステムに関連する3,820以上の悪意あるJARサンプルと240以上の配布URLが特定されています。
Weedhackの多段階アーキテクチャはJNIC難読化を使用してJavaバイトコードをネイティブコードに変換しており、リバースエンジニアリングを困難にしています。初期偵察フェーズでは、システムメタデータの収集、インストール済みソフトウェアの列挙、そしてWindows Defenderへの除外設定の追加が試みられます。
続くペイロードは、ブラウザの認証情報とCookie、Discordトークン、SteamおよびTelegramの認証情報、さらにMinecraftのセッション識別子とランチャーデータを収集します。これにより、完全なパスワードを開示することなくアカウントの乗っ取りが可能となります。
WeedhackのMaaS、Minecraftプレイヤーを標的に
無料プランでもすでに、認証情報とブラウザデータの窃取、スクリーンショットのキャプチャ、Discordトークンの窃取、ウォレットの標的化が可能です。プレミアムサブスクリプションでは、キーロギング、画面共有、ファイル管理、リバースシェル、ウェブカメラ監視アクセスなど、強力なリモートアクセス機能が追加されます。
Weedhackを一般的なゲーム関連の脅威と区別する重要な技術的特徴があります。このキャンペーンはMeteor Client、Aristois、LiquidBounce、Impact Clientをはじめとする多数の人気クライアントやMODを標的としており、オペレーターはニッチな検索結果を独占するためにプロフェッショナルな外観のサイトを構築しています。
このサービスのダッシュボードには累計116,000件以上のヒット数が表示されており、マルウェアビルダー、チュートリアル、OPSEC(作戦セキュリティ)ガイダンス、そして感染状況をゲーム化するリーダーボードが含まれていると報告されています。
研究者たちは、同一の脅威アクタークラスターに関連する10以上の現行ドメインと複数の過去ドメインを確認しています。また、多くのカスタマーがティーンエイジャーや若年成人であり、アカウント窃取、嫌がらせ、監視目的でこのツールを利用しているという証拠も確認されています。
実際の運用状況は、深刻なプライバシーおよび安全上の懸念を引き起こしています。アナリストは、リモートアクセス機能が嫌がらせやサイバーいじめに悪用されたケースを記録しており、犯罪コミュニティにおいてウェブカメラ画像や録画素材が共有される事例も確認されています。
月額約5米ドルから利用できる低コストのサブスクリプション層と充実した配布手順の存在により、経験の浅い脅威アクターでも仲間に対して効果的なキャンペーンを迅速に展開できます。これにより、若者を中心としたゲームコミュニティにおけるリスクはさらに深刻化しています。
防御側は、一見無害に見えるJavaベースのゲームソフトウェアも潜在的な攻撃経路として扱う必要があります。Weedhackの段階的なデリバリー、ブロックチェーン駆動のC2探索、強力な難読化はシグネチャベースの防御の多くを回避するため、効果的な検出には動的解析、振る舞い監視、インフラの相関分析が不可欠です。
実践的な緩和策としては、実行前にサンドボックスでMODファイルをスキャンすること、最小権限のJavaランタイムポリシーを徹底すること、既知の悪意あるドメインとJSON-RPCエンドポイントをブロックすること、そして検証済みのソースからMODを入手するようプレイヤーへの教育を実施することが挙げられます。
翻訳元: https://gbhackers.com/weedhack-maas-targets-minecraft-players/
