Une campagne de logiciels malveillants de grande ampleur, nommée WeedHack, vise les joueurs du jeu Minecraft. Ce programme a infecté plus de 116 000 ordinateurs depuis le mois de janvier.
Les pirates diffusent le logiciel malveillant par le biais de mods, de clients, de triches et d’utilitaires corrompus qui sont liés à Minecraft. Ils font la promotion de ces outils sur YouTube et utilisent une technique d’empoisonnement des moteurs de recherche.
WeedHack fonctionne comme une opération de malware-as-a-service qui dérobe des informations. Il propose un tableau de bord à ses clients, et ce tableau permet de visualiser les identifiants volés et les données des systèmes compromis.
Les données de télémétrie de la société de cybersécurité McAfee montrent que l’attaque a touché 116 464 systèmes. Chaque jour, les pirates enregistrent entre 2 000 et 3 000 nouvelles infections. La plupart des victimes résident aux États-Unis, en Allemagne, en Inde et au Royaume-Uni.
L’ampleur de l’opération se traduit par plus de 240 adresses URL de distribution et 3 820 fichiers JAR malveillants uniques.
Distribution du malware WeedHack
Dans un rapport publié aujourd’hui, les chercheurs de McAfee indiquent que la campagne WeedHack atteint principalement ses victimes par des vidéos YouTube. Ces vidéos présentent des outils pour Minecraft. Les attaquants utilisent aussi l’empoisonnement des moteurs de recherche pour promouvoir ces outils.
Sur la plateforme vidéo, l’attaquant dépose des liens de téléchargement dans les descriptions et les commentaires. Certaines vidéos sont bien réalisées. Elles comprennent une narration vocale pour paraître authentiques, et elles ont accumulé plus de 7 500 vues.
Source : McAfee
La méthode de distribution par empoisonnement des moteurs de recherche cible des mots-clés qui correspondent à des clients de jeu comme Meteor Client, Radium Client, Wurst Client, Aristois, LiquidBounce, Impact Client, Future Client, Inertia Client, Cornos Client, WWE Client, 3arthh4ck, Salhack, Phobos, et Gamesense.
McAfee précise que beaucoup de ces projets n’ont pas de site web officiel. Ils ne disposent que de pages sur GitHub.
Source : McAfee
Un cas mis en avant dans le rapport montre un site web malveillant. Ce site affiche un avertissement de sécurité. Cet avertissement indique aux visiteurs qu’ils doivent télécharger ‘Skytils’ uniquement depuis le site officiel.
Le site malveillant propose même un lien vers le dépôt légitime du projet sur GitHub et vers son serveur Discord. Ces liens créent un fort sentiment trompeur de légitimité pour le faux site web.
Source : McAfee
Opération de type Malware-as-a-Service
La plateforme de logiciel malveillant WeedHack est hébergée sur le web public. Elle offre un accès gratuit à tous, ce qui est très inhabituel pour les opérations de vol d’informations.
Les utilisateurs obtiennent l’accès à un tableau de bord. Ce tableau présente un aperçu de leurs victimes, les profils des systèmes infectés, les données volées et un constructeur de charge utile pour les versions de Minecraft 1.21.0 à 1.21.10.
Source : McAfee
La version gratuite du voleur cible l’identifiant de session Minecraft, les cookies et les mots de passe enregistrés dans 36 navigateurs. Elle cible aussi 56 extensions de cryptomonnaie, 12 applications de portefeuille de cryptomonnaie de bureau, les identifiants Discord, Steam et Telegram, et elle peut capturer des captures d’écran.
WeedHack propose aussi une version premium. Elle coûte 5 dollars par mois, ou 24,99 dollars pour un accès à vie. Cette version ajoute un contrôle à distance avec accès aux entrées (souris et clavier), un accès à la webcam, un enregistreur de frappe, un shell distant et une gestion de fichiers à distance.
Source : McAfee
Le canal Telegram du projet compte plus de 800 membres. McAfee affirme que beaucoup de ses clients semblent être des adolescents ou de jeunes adultes. Ces personnes utilisent les outils d’accès à distance de WeedHack pour harceler leurs victimes.
Les joueurs de Minecraft doivent faire confiance uniquement aux mods provenant des sources officielles des projets. Ils doivent vérifier les liens de téléchargement et traiter avec prudence les fichiers JAR hébergés sur des sites douteux.
Pour ceux qui souhaitent enrichir leur expérience de jeu, le Minecraft Marketplace intégré au jeu constitue l’option la plus sûre.