Los investigadores de ciberseguridad han detectado una nueva campaña dirigida a los jugadores de Minecraft a través de YouTube para difundir malware capaz de hacerse con el control de los sistemas de las víctimas.

La campaña de malware como servicio (MaaS) centrada en Minecraft ha recibido el nombre en código Weedhack por McAfee Labs, indicando que la actividad ha estado activa desde enero de 2026 y se hace pasar por clientes y mods de Minecraft para infectar a los usuarios. En total, se han identificado 3.820 archivos JAR maliciosos únicos y más de 240 URL responsables de distribuir el malware.

«Esta campaña utiliza el envenenamiento de SEO y YouTube para generar tráfico a estas URL maliciosas», dijo el investigador de seguridad Aayush Tyagi. dicho. «También encontramos dos canales de YouTube y varios videos que demuestran los mods y clientes de Minecraft y redirigen a los espectadores a estas URL».

Un elemento central de la campaña es un panel de nivel empresarial («weedhack[.]a») que permite a los clientes ver las credenciales robadas y la información del sistema, así como controlar de forma remota los sistemas comprometidos. Además, permite a los delincuentes crear cargas útiles personalizadas que pueden apuntar a las versiones de Minecraft 1.21.0 a 1.21.11, sin mencionar inyectar el malware en mods legítimos de Minecraft.

El punto de partida del ataque es un archivo JAR malicioso («DonutDupe.jar») descargado de sitios web maliciosos. Luego, el archivo recupera detalles del dominio del servidor de comando y control (C2) utilizando una técnica conocida llamada EtherHiding, que emplea la cadena de bloques Ethereum como un solucionador de caídas muertas.

En la siguiente etapa, el malware se pone en contacto con el servidor C2 para recuperar otra carga útil JAR basada en Java («Elevator.jar») que recopila información del sistema, configura las exclusiones de Microsoft Defender y sirve como conducto para eliminar dos cargas útiles JAR adicionales. La tercera carga útil JAR («SecurityManager.jar») establece la persistencia y actúa como preparador para el componente final («Component.jar») que implementa las funciones de acceso remoto.

Los actores de amenazas detrás de las herramientas aprovechan un canal de Telegram para anunciar su warez, transmitir actualizaciones y brindar atención al cliente. El canal tiene más de 850 miembros. La herramienta, por su parte, viene en dos niveles:

• Gratis, que incluye un completo robo de información que puede apuntar a ID de sesión de Minecraft y cuatro lanzadores de Minecraft; capturar capturas de pantalla; y recopilar archivos, información del sistema, cookies y contraseñas de 36 navegadores web diferentes, datos de 56 billeteras de criptomonedas basadas en navegador y 12 aplicaciones de billetera de escritorio, y credenciales para Discord, Steam y Telegram.
• Premium, que comienza en $4,99 por mes (o $24,99 por una licencia de por vida) y ofrece capacidades adicionales de acceso remoto, como acceso a cámara web, registro de teclas, ejecución de shell inverso, uso compartido de pantalla con acceso de teclado y mouse, y carga y descarga de archivos.

Las cadenas de ataques giran en torno al envenenamiento de SEO y videos de YouTube que contienen descripciones que incorporan enlaces a clientes de Minecraft maliciosos para apuntar a usuarios desprevenidos. La mayoría de las infecciones por Weedhack se han identificado en Estados Unidos, seguido de Alemania, India, Reino Unido, Italia, Vietnam, Canadá, Noruega, Suecia, Finlandia y España.

«Una de las características clave que hace que Weedhack sea único es que está alojado en una red transparente y proporciona acceso a malware sofisticado de forma gratuita», afirmó Tyagi. «Esta diferencia en costo y facilidad de acceso con tutoriales detallados sobre cómo usar el malware reduce significativamente la barrera de entrada para clientes potenciales. Además, su capacidad para robar cuentas de Minecraft atrae a una audiencia más joven. Ambos factores se complementan y hacen que la campaña sea mucho más letal».

McAfee Labs dijo que también observó que el malware actúa como un desencadenante del ciberacoso, donde los clientes, que parecen ser adolescentes y adultos jóvenes, están utilizando sus capacidades de acceso remoto como arma para amenazar, acosar y monitorear a sus víctimas. Encontraron una manera de grabar a las víctimas a través de sus cámaras web y compartieron los videos en el canal Telegram como «trofeos».

CountLoader ofrece Crypto Clipper

La divulgación se produce cuando la empresa de ciberseguridad arroja luz sobre una campaña CountLoader a gran escala que se estima que ha comprometido 86.000 máquinas únicas. CountLoader es un cargador de JavaScript que normalmente se distribuye a través de sitios de distribución de software pirateados. Se sabe que implementa varias cargas útiles como Cobalt Strike, AdaptixC2, PureHVNC RAT, Amatera Stealer y PureMiner.

De estos compromisos, se dice que aproximadamente 9.000 infecciones fueron el resultado de la propagación del malware a través de unidades USB y medios extraíbles. McAfee Labs dijo que el mayor número de infecciones se observó en India, seguida de Indonesia, EE. UU. y varios países del sudeste asiático, y agregó que pudo hundir con éxito la infraestructura de comunicación de malware al registrar un dominio C2 falso.

«La infección comienza cuando se ejecuta un archivo EXE», afirma la empresa. dicho. «Este archivo inicia un comando de PowerShell, que descarga y ejecuta un cargador de JavaScript ofuscado conocido como CountLoader. El cargador se ejecuta usando ‘mshta.exe’».

Una vez ejecutado, CountLoader configura la persistencia, se comunica con el servidor C2, intenta propagarse a través de unidades USB y espera más instrucciones del servidor C2 para descargar y ejecutar cargas útiles. La carga útil final implementada en el último conjunto de ataques es un malware cortapelos de criptomonedas que secuestra el contenido del portapapeles para redirigir las transacciones de criptomonedas.

El contenido pirateado conduce a los mineros de criptomonedas

Los hallazgos también siguen al descubrimiento de un campaña de años que ha utilizado sitios ilegales de transmisión de películas y programas de televisión para distribuir un minero de criptomonedas bajo la apariencia de una actualización falsa para un complemento de reproductor de video. La actualización falsa descarga un archivo ZIP, que luego utiliza la carga lateral de DLL para soltar una bifurcación de SilentCryptoMiner.

El malware está equipado con una amplia gama de capacidades:

• Configure las exclusiones de Defender, finalice la herramienta de eliminación de software malicioso de Microsoft y desactive la hibernación y el modo de suspensión automáticos para maximizar el tiempo de ejecución potencial del minero en el dispositivo.
• Active repetidamente las indicaciones del Control de cuentas de usuario (UAC) hasta que el proceso se ejecute correctamente con privilegios elevados.
• Iniciar un componente de vigilancia que garantice el funcionamiento ininterrumpido del minero.
• Ejecute un agente RAT que proporcione capacidades de control remoto, incluida la ejecución de comandos arbitrarios, el inicio de archivos EXE usando «explorer.exe» y la ejecución de shellcode.
• Inicie una CPU basada en XMRig y un minero de GPU.

«El archivo contenía un ejecutable legítimo, HLS Installer.874.exe, junto con una DLL maliciosa. Al iniciar el EXE se activaba un mecanismo de carga lateral de DLL, que inyectaba el módulo malicioso en un proceso de programa legítimo y ejecutaba código dentro de su contexto», Kaspersky dicho. «La biblioteca contenía la lógica para implementar el minero y establecer la persistencia en el dispositivo».

Se valora que la actividad es continuación de una campaña que se realizó documentado por NTT Security en abril de 2023, que utilizó falsas advertencias de fallas del navegador para desactivar el minero.

«Los actores de amenazas aprovechan una variedad de sitios, que van desde bibliotecas en línea hasta plataformas de transmisión de películas y programas de televisión», dijo Kaspersky. «No se sabe qué canales utilizarán para distribuir el archivo malicioso en el futuro. Sin embargo, el caso actual muestra que los usuarios que visitan sitios web pirateados siguen asumiendo un grave riesgo».