Một chiến dịch phần mềm độc hại quy mô lớn mang tên WeedHack đang nhắm mục tiêu vào các game thủ Minecraft và lây nhiễm hơn 116.000 hệ thống kể từ tháng 01/2026 đến nay.
WeedHack hoạt động như một dịch vụ phần mềm độc hại (MaaS) với khả năng đánh cắp thông tin, cung cấp bảng điều khiển cho khách hàng xem thông tin đăng nhập và thông tin bị đánh cắp trên các hệ thống bị xâm nhập.
Dữ liệu đo từ xa từ công ty an ninh mạng McAfee cho thấy, WeedHack đã ảnh hưởng đến 116.464 hệ thống, trung bình mỗi ngày có từ 2.000 đến 3.000 trường hợp lây nhiễm. Hầu hết các nạn nhân tập trung ở Mỹ, Đức, Ấn Độ và Anh. Quy mô của chiến dịch được thể hiện qua hơn 240 URL phân phối và 3.820 tệp JAR độc hại khác nhau.
Phân phối WeedHack
Trong một báo cáo mới đây, các nhà nghiên cứu của McAfee chia sẻ chiến dịch WeedHack tiếp cận nạn nhân thông qua các video trên YouTube giới thiệu các công cụ liên quan đến Minecraft và lạm dụng SEO để quảng bá chúng.
Trên nền tảng video, kẻ tấn công chèn các liên kết tải xuống vào phần mô tả và bình luận. Một số video thậm chí được thiết kế rất chi tiết, có thuyết minh bằng giọng nói để tăng tính xác thực và đã thu hút hơn 7.500 lượt xem.
.jpg)
Video trên YouTube quảng bá các bản mod Minecraft độc hại (Nguồn: McAfee)
Kỹ thuật đầu độc SEO (poisoning) nhắm vào các từ khóa tương ứng với các client sau: Meteor Client, Radium Client, Wurst Client, Aristois, LiquidBounce, Impact Client, Future Client, Inertia Client, Cornos Client, WWE Client, 3arthh4ck, Salhack, Phobos và Gamesense.
McAfee giải thích rằng nhiều dự án trong số đó không có trang web chính thức, mà chỉ có trang GitHub.
.jpg)
Trang web phát tán phần mềm độc hại (Nguồn: McAfee)
Trong một trường hợp được nêu bật trong báo cáo, trang web độc hại hiển thị thông báo bảo mật cảnh báo người truy cập rằng họ chỉ nên tải xuống “Skytils” từ trang web chính thức, nó thậm chí còn liên kết đến kho lưu trữ GitHub và máy chủ Discord của dự án để tránh sự phát hiện và nghi ngờ từ nạn nhân.
.jpg)
Cảnh báo trang web độc hại về các bản mod Minecraft giả mạo (Nguồn: McAfee)
Hoạt động MaaS
Nền tảng phần mềm độc hại WeedHack được lưu trữ trên mạng Internet công khai và cung cấp quyền truy cập miễn phí cho bất kỳ ai, điều này rất bất thường đối với các hoạt động đánh cắp thông tin.
Người dùng được cấp quyền truy cập vào bảng điều khiển hiển thị tổng quan về các nạn nhân, hồ sơ hệ thống bị lây nhiễm, dữ liệu đánh cắp và công cụ tạo payload cho các phiên bản Minecraft từ 1.21.0 đến 1.21.10.
Bảng điều khiển WeedHack (Nguồn: McAfee)
Mã độc này tập trung vào việc đánh cắp ID phiên Minecraft, cookie và mật khẩu đã lưu trên 36 trình duyệt, 56 tiện ích bổ sung tiền điện tử, 12 ứng dụng ví tiền điện tử trên máy tính để bàn, thông tin đăng nhập Discord, Steam và Telegram, cũng như có thể chụp ảnh màn hình.
Ngoài ra, WeedHack cung cấp gói cao cấp với giá 5 USD/tháng, hoặc mua một lần trọn đời với giá 24,99 USD, bổ sung thêm tính năng điều khiển từ xa với quyền truy cập thiết bị đầu vào (chuột và bàn phím), truy cập webcam, keylogger, điều khiển shell và quản lý tệp tin từ xa.
.jpg)
Tổng quan về cuộc tấn công Weedhack (Nguồn: McAfee)
Kênh Telegram của dự án này có hơn 800 thành viên, McAfee cho biết nhiều khách hàng dường như là thanh thiếu niên hoặc người trẻ tuổi sử dụng các công cụ truy cập từ xa của WeedHack để thực hiện các hành vi độc hại khác nhau.
Những game thủ Minecraft chỉ nên tin tưởng các bản mod từ các nguồn dự án chính thức, xác minh liên kết tải xuống và thận trọng với các tệp JAR lưu trữ trên các trang web đáng ngờ. Đối với những ai muốn mở rộng trải nghiệm chơi game của mình, Minecraft Marketplace trong game là lựa chọn an toàn nhất.
