WeedHack Malware-Kampagne
Cybersicherheitsforscher haben eine ausgeklügelte Malware-Kampagne aufgedeckt, die es auf Minecraft-Spieler abgesehen hat. Mithilfe von Manipulationen an YouTube und Suchmaschinen werden die Nutzer mit Malware infiziert, die in der Lage ist, die Kontrolle über ihre Systeme zu übernehmen.
Die unter dem Namen Weedhack geführte Operation ist seit Januar 2026 aktiv. Die Angreifer tarnen Schadsoftware als Minecraft-Clients und -Mods und verleiten Nutzer so zum Herunterladen infizierter Dateien. Forscher haben 3.820 verschiedene schädliche JAR-Dateien und über 240 URLs identifiziert, die zur Verbreitung der Malware verwendet werden.
Um eine möglichst große Reichweite zu erzielen, setzt die Kampagne auf SEO-Manipulation und YouTube-Inhalte, die vermeintlich legitime Minecraft-Modifikationen bewerben. Die Ermittler haben bereits mehrere Videos und mindestens zwei YouTube-Kanäle identifiziert, die Zuschauer auf schädliche Downloadseiten weiterleiten.
Inhaltsverzeichnis
Hinter der Kampagne steht eine professionelle kriminelle Plattform
Kernstück der Operation ist ein hochentwickeltes Dashboard auf weedhack.to, das Cyberkriminellen Zugriff auf gestohlene Zugangsdaten, Systeminformationen und Überwachungsfunktionen für kompromittierte Geräte bietet. Die Plattform ermöglicht es Nutzern außerdem, maßgeschneiderte Malware-Payloads für Minecraft-Versionen von 1.21.0 bis 1.21.11 zu generieren und sogar Schadcode in legitime Minecraft-Modifikationen einzuschleusen.
Das Malware-Ökosystem wird über einen Telegram-Kanal mit mehr als 850 Mitgliedern vermarktet. Der Kanal dient als zentrale Anlaufstelle für Werbung für den Dienst, die Verteilung von Updates und den Kundensupport für die Nutzer der Plattform.
Wie die Infektionskette funktioniert
Der Angriff beginnt, sobald ein Opfer eine schädliche JAR-Datei namens DonutDupe.jar von einer der betrügerischen Webseiten herunterlädt. Nach der Ausführung ruft die Datei mithilfe von EtherHiding, einer Technik, die die Ethereum-Blockchain als Dead-Drop-Resolver nutzt, Informationen zum Command-and-Control-Server (C2) ab.
Die Schadsoftware kontaktiert anschließend die C2-Infrastruktur und lädt eine zweite Java-basierte Payload namens Elevator.jar herunter. Diese Komponente sammelt Systeminformationen, erstellt Ausnahmen für Microsoft Defender und bereitet das System für die weitere Schadsoftware-Bereitstellung vor.
Eine dritte Payload, SecurityManager.jar, nistet sich auf dem infizierten Gerät ein und dient als Staging-Komponente. Schließlich wird Component.jar ausgeliefert, wodurch die Fernzugriffsfunktionalität aktiviert wird, die Angreifern weitreichende Kontrolle über kompromittierte Systeme ermöglicht.
Kostenlose und Premium-Malware-Angebote
Die Weedhack-Plattform wird in zwei Abonnementstufen angeboten:
Kostenlose Version : Enthält einen leistungsstarken Informationsdieb, der Minecraft-Sitzungs-IDs, Daten von vier Minecraft-Launchern, Screenshots, Dateien, Systeminformationen, Browser-Cookies, Passwörter von 36 Webbrowsern, Informationen von 56 browserbasierten Kryptowährungs-Wallets und 12 Desktop-Wallet-Anwendungen sowie Anmeldeinformationen für Discord, Steam und Telegram sammeln kann.
Premium-Stufe : Diese Version ist ab 4,99 $ pro Monat oder 24,99 $ für eine lebenslange Lizenz erhältlich und bietet erweiterte Fernzugriffsfunktionen wie Webcam-Überwachung, Keylogging, Reverse-Shell-Ausführung, Bildschirmfreigabe mit Tastatur- und Maussteuerung sowie Dateiübertragungsfunktionen.
Globale Reichweite und niedrigere Hürden für Cyberkriminalität
Die meisten Infektionen wurden in den Vereinigten Staaten verzeichnet, gefolgt von Deutschland, Indien, Großbritannien, Italien, Vietnam, Kanada, Norwegen, Schweden, Finnland und Spanien.
Ein wesentliches Merkmal von Weedhack ist seine Verfügbarkeit im offenen Internet anstatt auf versteckten Untergrundmärkten. Durch den kostenlosen Zugang zu hochentwickelter Schadsoftware und detaillierten Anleitungen senkt die Plattform die Einstiegshürde für angehende Cyberkriminelle erheblich. Die zusätzliche Möglichkeit, Minecraft-Konten zu stehlen, steigert die Attraktivität für jüngere Nutzer zusätzlich und macht die Kampagne besonders gefährlich und effektiv.
Von Cyberkriminalität bis Cybermobbing
Forscher haben zudem eine alarmierende soziale Dimension der Kampagne festgestellt. Viele Nutzer scheinen Teenager und junge Erwachsene zu sein, die die Fernzugriffsfunktionen der Schadsoftware ausnutzen, um Opfer einzuschüchtern, zu belästigen und zu überwachen.
Die Ermittler dokumentierten Fälle, in denen Angreifer Opfer heimlich über manipulierte Webcams filmten und das Material später als sogenannte „Trophäen“ auf dem Telegram-Kanal teilten. Dieses Verhalten verdeutlicht, wie Malware-Plattformen wie Weedhack nicht nur traditionelle Cyberkriminalität erleichtern, sondern auch gezieltes Cybermobbing und digitale Belästigung ermöglichen.
