2026年1月,安全研究机构McAfee Labs监测到一场名为Weedhack的大规模恶意软件活动。攻击者利用搜索引擎优化(SEO)投毒和在YouTube平台创建大量推广频道,散布伪装成Minecraft客户端和模组的恶意安装包。据McAfee统计,该活动自爆发以来已累计获得超过11.6万次系统访问,平均每天约2000至3000次,受影响用户主要集中在美国、德国、印度、英国、意大利、越南等地。
恶意载荷传播机制与工作流程
Weedhack运营者提供一套企业级控制面板,可恶意修改合法的Minecraft模组,植入名为DonutDupe.jar的Java归档文件。用户下载并运行后,该文件会释放一段恶意代码序列:首先尝试禁用Windows Defender,然后收集系统基本信息(如操作系统版本、已安装软件、网络配置等),随后从远程服务器下载两个额外有效负载,分别用于建立持久化机制和开启远程访问功能,从而使攻击者能够完全控制受害者设备。
为了扩大传播范围,攻击者在YouTube上传大量视频,这些视频通常包含“免费模组”或“破解客户端”等关键词,并利用SEO投毒技术提高在搜索引擎中的排名。点击视频内的链接后,用户被引导至看似正规的下载页面,实则下载含有恶意内容的Java文件。McAfee指出,该活动重点针对Minecraft 1.21.0至1.21.11版本,窃取游戏账号凭证的能力对年轻玩家群体具有特殊吸引力。
MaaS运营模式与影响范围
McAfee将Weedhack定性为“面向Minecraft的恶意软件即服务”(MaaS)。该服务通过Telegram频道提供免费和付费两级套餐:免费版本已具备屏幕截图抓取、文件窃取等功能;付费版每月仅需4.99美元(约合人民币36元),额外解锁摄像头访问、键盘记录以及远程Shell执行能力。控制面板托管于明网,运营者提供详尽的使用教程,大幅降低了恶意软件的获取和技术门槛。
数据显示,受影响区域中美国占比最高,其余分布在德国、印度、英国、意大利、越南、加拿大、挪威、瑞典、芬兰和西班牙等地。安全专家建议玩家仅从Mojang官方或受信任的社区渠道下载模组,避免点击来路不明的链接,并保持防病毒软件的实时防护,以防此类利用游戏模组传播的恶意攻击。
本文参考来源:TechRadar
名词解释与规格科普:
SEO投毒(SEO Poisoning):攻击者通过操纵搜索引擎排名算法,将恶意网站或链接推至搜索结果前列,诱导用户点击的黑暗SEO手法。
MaaS(Malware as a Service):恶意软件即服务,攻击者将恶意软件打包成付费订阅产品出售,降低恶意攻击的技术门槛。
持久化机制(Persistence Mechanism):恶意软件在被清除或系统重启后仍能自动重新激活的技术手段,通常通过修改注册表、计划任务或系统服务实现。
微信扫描下方的二维码阅读本文
