كشف باحثون في الأمن السيبراني عن حملة جديدة تستهدف لاعبي ماينكرافت عبر منصة يوتيوب، حيث يتم الترويج لبرمجيات خبيثة قادرة على السيطرة الكاملة على أنظمة الضحايا. الحملة التي أطلق عليها اسم Weedhack من قبل مختبرات McAfee بدأت منذ يناير 2026، وتستغل تقنيات SEO poisoning إلى جانب مقاطع فيديو تستعرض تعديلات اللعبة (Mods) لتوجيه المستخدمين إلى روابط خبيثة.
تم رصد أكثر من 3820 ملف JAR خبيث و240 رابطًا مسؤولًا عن نشر البرمجية، إضافة إلى لوحة تحكم متقدمة على موقع “weedhack[.]to” تتيح للمهاجمين إدارة بيانات مسروقة، إنشاء حمولة مخصصة تستهدف إصدارات ماينكرافت من 1.21.0 حتى 1.21.11، بل وحقن البرمجية داخل تعديلات شرعية للعبة.
آلية الهجوم وسلسلة الحمولة الخبيثة
يبدأ الهجوم عبر ملف DonutDupe.jar الذي يتم تنزيله من المواقع الخبيثة، ويستخدم تقنية EtherHiding عبر سلسلة بلوك تشين الإيثريوم للحصول على عنوان خادم القيادة والسيطرة (C2).
بعد ذلك يتم تنزيل حمولة ثانية باسم Elevator.jar تقوم بجمع معلومات النظام وتعديل إعدادات Microsoft Defender، ثم إسقاط حمولة ثالثة SecurityManager.jar لضمان الاستمرارية، وأخيرًا حمولة Component.jar التي توفر ميزات الوصول عن بُعد.
البرمجية تُسوّق عبر قناة على تليغرام تضم أكثر من 850 عضوًا، وتُعرض في نسختين: مجانية تتضمن أدوات سرقة بيانات من 36 متصفحًا و56 محفظة للعملات الرقمية و12 تطبيق محفظة مكتبي، إضافة إلى بيانات منصات مثل Discord وSteam وTelegram؛ ونسخة مدفوعة تبدأ من 4.99 دولار شهريًا وتمنح قدرات إضافية مثل التحكم بالكاميرا، تسجيل ضربات المفاتيح، وتنفيذ أوامر عبر reverse shell.
حملة CountLoader واسعة النطاق
إلى جانب Weedhack، سلطت McAfee الضوء على حملة ضخمة لبرمجية CountLoader، وهي محمل JavaScript يُوزع عادة عبر مواقع البرامج المقرصنة. الحملة أصابت نحو 86 ألف جهاز حول العالم، مع تسجيل أعلى نسبة إصابات في الهند وإندونيسيا والولايات المتحدة.
تبدأ العدوى عند تشغيل ملف EXE يقوم بتنفيذ أوامر PowerShell لتنزيل وتشغيل CountLoader عبر أداة mshta.exe. بعد التنفيذ، يثبت البرمجية نفسها، يتواصل مع خادم C2، ويحاول الانتشار عبر وسائط USB. أحدث حمولة تم رصدها هي Crypto Clipper الذي يسرق محتوى الحافظة لإعادة توجيه معاملات العملات الرقمية.
من اللافت أن نحو 9 آلاف إصابة جاءت نتيجة الانتشار عبر وسائط التخزين القابلة للإزالة، فيما تمكنت McAfee من تعطيل جزء من البنية التحتية للحملة عبر تسجيل نطاق C2 وهمي.
التعدين الخبيث عبر المحتوى المقرصن
كما رصد الباحثون حملة طويلة الأمد تستغل مواقع بث الأفلام والمسلسلات المقرصنة لنشر برمجية تعدين للعملات الرقمية. يتم ذلك عبر تحديث مزيف لمكوّن تشغيل الفيديو، حيث يقوم بتنزيل أرشيف ZIP يحتوي على ملف DLL خبيث بجانب ملف EXE شرعي. عند تشغيل EXE يتم تفعيل آلية DLL side-loading لحقن البرمجية في عملية شرعية وتشغيلها.
البرمجية، وهي نسخة معدلة من SilentCryptoMiner، مزودة بقدرات متقدمة مثل تعطيل أدوات الحماية، منع وضع السكون لزيادة وقت التشغيل، تشغيل مكونات RAT للتحكم عن بُعد، إضافة إلى تشغيل أدوات تعدين CPU وGPU مبنية على XMRig.
تعود جذور هذه الحملة إلى عام 2023 حين وثقت NTT Security استخدام تحذيرات وهمية عن تعطل المتصفح لنشر برمجيات التعدين. وتشير التقديرات إلى أن المهاجمين سيواصلون استغلال منصات المحتوى المقرصن، ما يجعل المستخدمين عرضة لمخاطر جسيمة عند زيارة هذه المواقع.
