「Weedhack」と呼ばれる新たなサイバー脅威が、人気のMinecraftモッドを悪用してパスワードを窃取し、ゲームアカウントを乗っ取り、ウェブカメラを通じてプレイヤーを監視しています。
少なくとも2026年1月からMalware-as-a-Service(MaaS)として運用されているこの低価格なツールキットは、すでに116,000件を超える感染を記録しています。
月額わずか5ドルから利用できるWeedhackは、アマチュアハッカーでも高度な攻撃を容易に仕掛けられる危険なツールとなっています。
このマルウェアは主に、YouTubeの動画プロモーション、検索エンジン最適化(SEO)ポイズニング、偽ウェブサイトを通じて拡散しています。
攻撃者はMeteor Client、Wurst Client、LiquidBounce、Impact Clientといった人気のMinecraftモッドを提供するプロフェッショナルな外観のウェブページを作成します。
信頼性の高いソフトウェア配布プラットフォームを模倣することで、ゲーマーを騙して感染ファイルをダウンロードさせています。
攻撃はゲームモッドに偽装した悪意のあるJava Archive(JAR)ファイルのダウンロードから始まります。実行されると、マルウェアはコンソールウィンドウがユーザーに表示されないよう、密かに自身を再起動します。
Weedhackが特に際立っているのは、「EtherHiding」と呼ばれる技術を使って運用を継続している点です。ブロックされやすい従来型サーバーに依存するのではなく、Ethereumブロックチェーンに接続することでコマンド&コントロール(C2)インフラの場所を特定しています。
ネットワークデータはスマートコントラクトから取得され、組み込まれた暗号署名によって検証されます。この分散型アプローチにより、セキュリティ研究者が攻撃者のネットワークを妨害することは極めて困難になっています。
ウイルス対策ソフトの検出を回避するため、マルウェアの次のフェーズではJavaコードをネイティブコードに変換するJNIC難読化を使用します。
さらに、Windows DefenderによるシステムE除外の適用を妨害することで検出を回避し続けます。システムへの定着後、無料プランのマルウェアはデータ窃取活動を本格化させます。
Discordトークン、Steamの認証情報、MinecraftセッションIDを収集し、実際のパスワードがなくてもアカウントを乗っ取ることを可能にしています。
プレミアムプランを契約したユーザー向けには、完全なリモートアクセス機能が解放されます。これにより攻撃者は、キーストロークの記録、ファイル管理、画面共有、さらには被害者のウェブカメラへのアクセスまで行えるようになります。
Polyswarmの調査によると、Weedhackの技術的アーキテクチャは非常に高度である一方、マルウェアの展開方法は往々にして極めて個人的な動機に基づいているとされています。
セキュリティ研究者は、Weedhackの利用者の多くがティーンエイジャーや若い成人であると観察しています。暗号通貨窃取といった従来の金融犯罪にとどまらず、こうしたユーザーはハラスメントやサイバーいじめのためにマルウェアを武器として悪用しています。
プレミアムリモートアクセスツールを使い、攻撃者はウェブカメラを通じて被害者を監視し、脅迫行為に及んでいます。
さらに一部のケースでは、脅威アクターが侵害したコンピューターからプライベートな画像や動画を盗み出し、オンライン犯罪コミュニティ内で拡散させていることも確認されています。
注意: IPアドレスおよびドメインは、誤った名前解決やハイパーリンクへのアクセスを防ぐため、意図的に無効化(例:[.])されています。MISP、VirusTotal、またはSIEMなどの管理された脅威インテリジェンスプラットフォーム内でのみ再有効化してください。
翻訳元: https://cyberpress.org/weedhack-targets-minecraft-credentials/