Une campagne de logiciels malveillants à grande échelle, nommée WeedHack, cible les joueurs de Minecraft. Elle a compromis plus de 116 000 systèmes depuis le mois de janvier.
Ce malware se propage par le biais de mods malveillants, de clients, de triches et d’utilitaires liés à Minecraft. Ces fichiers sont promus sur YouTube et grâce à l’empoisonnement de l’optimisation pour les moteurs de recherche (SEO).
WeedHack fonctionne comme un service de vol d’informations de type malware-as-a-service (MaaS). Il propose un tableau de bord qui permet à ses clients de consulter les identifiants volés et les informations extraites des systèmes infectés.
Les données de télémétrie de la société de cybersécurité McAfee indiquent que WeedHack a touché 116 464 systèmes, ce qui représente une moyenne de 2000 à 3000 infections par jour. La plupart des victimes se trouvent aux États-Unis, en Allemagne, en Inde et au Royaume-Uni.
L’ampleur de l’opération se voit également au travers de plus de 240 URL de distribution et 3820 fichiers JAR malveillants uniques.
La distribution du malware WeedHack
Dans un rapport publié aujourd’hui, les chercheurs de McAfee expliquent que la campagne WeedHack atteint ses victimes principalement par des vidéos YouTube qui présentent des outils liés à Minecraft, et par l’empoisonnement SEO qui les promeut.
Sur cette plateforme vidéo, l’attaquant place des liens de téléchargement dans les descriptions et les commentaires. Certaines de ces vidéos sont bien réalisées et comportent une narration audio pour paraître plus authentiques. Elles totalisent parfois plus de 7 500 vues.
Source : McAfee
La méthode de distribution par empoisonnement SEO cible des mots-clés qui correspondent à des clients populaires : Meteor Client, Radium Client, Wurst Client, Aristois, LiquidBounce, Impact Client, Future Client, Inertia Client, Cornos Client, WWE Client, 3arthh4ck, Salhack, Phobos, et Gamesense.
McAfee précise que beaucoup de ces projets ne disposent pas de sites web officiels, mais seulement de pages GitHub.
Source : McAfee
Le rapport souligne un cas où le site web malveillant affiche un avis de sécurité qui avertit les visiteurs qu’ils ne devraient télécharger ‘Skytils’ que depuis le site officiel.
Il fournit même des liens vers le dépôt GitHub légitime du projet et son serveur Discord, ce qui crée une forte impression trompeuse de légitimité pour le faux site.
Source : McAfee
Une opération de type MaaS
La plateforme malveillante WeedHack est hébergée sur le web public et elle est accessible gratuitement à tous, ce qui est très inhabituel pour des opérations de vol d’informations.
Les utilisateurs obtiennent l’accès à un tableau de bord qui présente un aperçu de leurs victimes, les profils des systèmes infectés, les données volées, ainsi qu’un constructeur de charge utile pour les versions de Minecraft 1.21.0 à 1.21.10.
Source : McAfee
La version gratuite du voleur cible les identifiants de session Minecraft, les cookies et les mots de passe enregistrés sur 36 navigateurs. Elle extrait aussi les données de 56 extensions pour cryptomonnaies, de 12 applications de portefeuille de cryptomonnaies pour ordinateur, ainsi que les identifiants de Discord, Steam et Telegram. Elle peut également capturer des captures d’écran.
WeedHack propose aussi un abonnement premium à 5 dollars par mois, ou un achat unique à vie pour 24,99 dollars. Cette version ajoute un contrôle à distance avec accès aux entrées (souris et clavier), l’accès à la webcam, un enregistreur de frappe, un shell distant et une gestion de fichiers à distance.
Source : McAfee
Le canal Telegram du projet compte plus de 800 membres. McAfee rapporte que beaucoup des clients semblent être des adolescents ou de jeunes adultes qui utilisent les outils d’accès à distance de WeedHack pour harceler leurs victimes.
Les joueurs de Minecraft devraient uniquement faire confiance aux mods provenant de sources officielles des projets. Ils doivent vérifier les liens de téléchargement et traiter avec prudence les fichiers JAR hébergés sur des sites douteux.
Pour ceux qui souhaitent enrichir leur expérience de jeu, le Minecraft Marketplace intégré au jeu constitue l’option la plus sûre.