Các nhà nghiên cứu an ninh mạng vừa cảnh báo về một chiến dịch mới nhắm mục tiêu vào người chơi Minecraft thông qua YouTube để phát tán mã độc có khả năng chiếm quyền kiểm soát hệ thống của nạn nhân.
Chiến dịch Malware-as-a-Service (MaaS) tập trung vào Minecraft này đã được McAfee Labs đặt mã danh là Weedhack. Theo báo cáo, hoạt động này bắt đầu từ tháng 1 năm 2026, mạo danh các Minecraft Clients và Mods để lây nhiễm người dùng. Tổng cộng, 3.820 tệp JAR độc hại duy nhất và hơn 240 URL chịu trách nhiệm phát tán mã độc đã được xác định.
"Chiến dịch này tận dụng SEO poisoning và YouTube để tạo lưu lượng truy cập đến các URL độc hại này," nhà nghiên cứu bảo mật Aayush Tyagi cho biết. "Chúng tôi cũng tìm thấy hai kênh YouTube và nhiều video giới thiệu các Minecraft Mods và Clients, sau đó điều hướng người xem đến các URL đó."
Trung tâm của chiến dịch là một bảng điều khiển cấp doanh nghiệp ("weedhack[.]to") cho phép khách hàng xem các thông tin đăng nhập và dữ liệu hệ thống bị đánh cắp, cũng như theo dõi từ xa các hệ thống bị xâm nhập. Hơn nữa, nó cho phép tội phạm tạo ra các Payload tùy chỉnh có thể nhắm vào các phiên bản Minecraft từ 1.21.0 đến 1.21.11, chưa kể đến việc chèn mã độc vào các bản mod Minecraft hợp pháp.
Điểm khởi đầu của cuộc tấn công là một tệp JAR độc hại ("DonutDupe.jar") được tải xuống từ các trang web độc hại. Tệp này sau đó truy xuất chi tiết của tên miền máy chủ Command-and-Control (C2) bằng một kỹ thuật phổ biến mang tên EtherHiding, sử dụng Blockchain Ethereum làm trình giải quyết (resolver) trung gian.
Ở giai đoạn tiếp theo, mã độc liên hệ với máy chủ C2 để tải một Payload JAR khác dựa trên Java ("Elevator.jar") nhằm thu thập thông tin hệ thống, cấu hình các ngoại lệ cho Microsoft Defender và đóng vai trò là ống dẫn để thả thêm hai Payload JAR bổ sung. Tệp JAR thứ ba ("SecurityManager.jar") thiết lập sự hiện diện bền vững (persistence) và hoạt động như một trình khởi chạy (stager) cho thành phần cuối cùng ("Component.jar") để triển khai các tính năng truy cập từ xa.
Các tác nhân đe dọa đứng sau công cụ này sử dụng một kênh Telegram để quảng cáo phần mềm độc hại, phát sóng các cập nhật và hỗ trợ khách hàng. Kênh này hiện có hơn 850 thành viên. Công cụ này được cung cấp theo hai cấp độ:
- Miễn phí: Bao gồm một Infostealer toàn diện có thể nhắm mục tiêu vào Minecraft Session ID và bốn trình khởi chạy Minecraft; chụp ảnh màn hình; thu thập tệp, thông tin hệ thống, Cookie và mật khẩu từ 36 trình duyệt web khác nhau, dữ liệu từ 56 ví tiền điện tử trên trình duyệt và 12 ứng dụng ví trên máy tính để bàn, cùng thông tin đăng nhập Discord, Steam và Telegram.
- Trả phí (Premium): Bắt đầu từ 4,99 USD mỗi tháng (hoặc 24,99 USD cho giấy phép trọn đời), cung cấp thêm các khả năng truy cập từ xa như truy cập webcam, Keylogging, thực thi Reverse Shell, chia sẻ màn hình với quyền truy cập bàn phím và chuột, cùng khả năng tải lên và tải xuống tệp.
Chuỗi tấn công xoay quanh SEO poisoning và các video YouTube có chứa mô tả đính kèm liên kết đến các Minecraft Clients độc hại để nhắm vào những người dùng không cảnh giác. Phần lớn các ca nhiễm Weedhack đã được xác định tại Mỹ, tiếp theo là Đức, Ấn Độ, Anh, Ý, Việt Nam, Canada, Na Uy, Thụy Điển, Phần Lan và Tây Ban Nha.
"Một trong những đặc điểm chính khiến Weedhack trở nên độc đáo là nó được lưu trữ trên mạng công khai (clear net) và cung cấp quyền truy cập vào mã độc tinh vi miễn phí," Tyagi nói. "Sự khác biệt về chi phí và mức độ dễ tiếp cận cùng với các hướng dẫn chi tiết về cách sử dụng mã độc đã làm giảm đáng kể rào cản gia nhập cho các khách hàng tiềm năng. Hơn nữa, khả năng đánh cắp tài khoản Minecraft thu hút đối tượng khán giả trẻ tuổi. Cả hai yếu tố này bổ trợ cho nhau và khiến chiến dịch trở nên nguy hiểm hơn nhiều."
McAfee Labs cho biết họ cũng quan sát thấy mã độc này hoạt động như một công cụ kích động bắt nạt qua mạng (cyberbullying), nơi những khách hàng (có vẻ là thanh thiếu niên và người trẻ tuổi) đang sử dụng các khả năng truy cập từ xa để đe dọa, quấy rối và theo dõi nạn nhân. Họ đã tìm ra cách ghi lại hình ảnh nạn nhân qua Webcam và chia sẻ video trên kênh Telegram như những "chiến lợi phẩm".
CountLoader lây nhiễm 86.000 máy tính, phát tán Crypto Clipper
Tiết lộ này được đưa ra khi công ty an ninh mạng làm sáng tỏ một chiến dịch CountLoader quy mô lớn ước tính đã xâm nhập 86.000 máy tính duy nhất. CountLoader là một trình tải JavaScript thường được phân phối qua các trang web chia sẻ phần mềm crack. Nó nổi tiếng với việc triển khai nhiều Payload khác nhau như Cobalt Strike, AdaptixC2, PureHVNC RAT, Amatera Stealer và PureMiner.
Trong số các máy bị xâm nhập này, khoảng 9.000 ca nhiễm được cho là do mã độc lây lan qua ổ USB và các thiết bị lưu trữ di động. McAfee Labs cho biết số lượng ca nhiễm cao nhất được ghi nhận ở Ấn Độ, tiếp theo là Indonesia, Mỹ và một số quốc gia ở Đông Nam Á. Công ty đã thành công trong việc "sinkhole" hạ tầng liên lạc của mã độc bằng cách đăng ký một tên miền C2 giả.
Sau khi thực thi, CountLoader thiết lập sự hiện diện lâu dài, liên lạc với máy chủ C2, cố gắng lây lan qua ổ USB và chờ đợi các lệnh tiếp theo để tải và thực thi Payload. Payload cuối cùng được triển khai trong loạt tấn công mới nhất là một mã độc cryptocurrency clipper, có khả năng chiếm đoạt nội dung Clipboard để chuyển hướng các giao dịch tiền điện tử về phía kẻ tấn công.
Nội dung lậu dẫn đến mã độc đào tiền ảo
Các phát hiện cũng nối tiếp việc phát hiện ra một chiến dịch kéo dài nhiều năm sử dụng các trang web phát phim và chương trình truyền hình bất hợp pháp để phân phối mã độc đào tiền ảo dưới vỏ bọc một bản cập nhật giả mạo cho Plugin trình phát video. Bản cập nhật giả mạo tải xuống một kho lưu trữ ZIP, sau đó sử dụng kỹ thuật DLL side-loading để thả một phiên bản tùy chỉnh của SilentCryptoMiner.
Mã độc này được trang bị một loạt các khả năng:
- Cấu hình các ngoại lệ cho Defender, chấm dứt Công cụ xóa phần mềm độc hại của Microsoft (MSRT) và vô hiệu hóa chế độ ngủ đông/ngủ tự động để tối đa hóa thời gian chạy của trình đào trên thiết bị.
- Liên tục kích hoạt các thông báo User Account Control (UAC) cho đến khi tiến trình được thực thi thành công với đặc quyền nâng cao.
- Khởi động một thành phần giám sát (watchdog) để đảm bảo hoạt động không bị gián đoạn của trình đào.
- Chạy một RAT agent cung cấp khả năng điều khiển từ xa, bao gồm thực thi các lệnh tùy ý, khởi chạy tệp EXE và chạy Shellcode.
- Khởi chạy trình đào XMRig dựa trên CPU và GPU.
Kaspersky cho biết: "Tệp lưu trữ chứa một tệp thực thi hợp pháp, HLS Installer.874.exe, cùng với một tệp DLL độc hại. Việc khởi chạy EXE sẽ kích hoạt cơ chế DLL side-loading, chèn module độc hại vào một tiến trình chương trình hợp pháp và thực thi mã trong ngữ cảnh của nó. Thư viện này chứa logic để triển khai trình đào và thiết lập sự hiện diện trên thiết bị."
Hoạt động này được đánh giá là sự tiếp nối của một chiến dịch đã được NTT Security ghi nhận vào tháng 4 năm 2023, vốn sử dụng các cảnh báo treo trình duyệt giả mạo để phát tán trình đào tiền ảo.
Kaspersky kết luận: "Các tác nhân đe dọa tận dụng nhiều loại trang web khác nhau, từ thư viện trực tuyến đến các nền tảng phát phim lậu. Hiện chưa thể biết họ sẽ sử dụng kênh nào để phân phối mã độc trong tương lai. Tuy nhiên, trường hợp này cho thấy người dùng truy cập các trang web lậu vẫn đang đối mặt với những rủi ro nghiêm trọng."