-
09/04/2020
-
141
-
1.947 bài viết
Hơn 116.000 thiết bị nhiễm mã độc WeedHack từ các bản mod Minecraft giả mạo
Các nhà nghiên cứu tại McAfee vừa phát hiện một chiến dịch phát tán mã độc quy mô lớn mang tên WeedHack, lợi dụng sự phổ biến của Minecraft để phát tán phần mềm đánh cắp thông tin tới hàng trăm nghìn người dùng trên toàn cầu. Theo dữ liệu thu thập được, chiến dịch đã lây nhiễm hơn 116.000 thiết bị kể từ tháng 1/2026, với tốc độ lây nhiễm đáng báo động, trung bình có từ 2.000 đến 3.000 nạn nhân mới mỗi ngày.
Khác với nhiều chiến dịch phát tán mã độc truyền thống, WeedHack tập trung khai thác hệ sinh thái mod và tiện ích dành cho Minecraft. Tin tặc ngụy trang mã độc dưới dạng các client tùy chỉnh, công cụ hỗ trợ chơi game, bản mod hoặc phần mềm gian lận rồi phát tán thông qua video YouTube và các trang web được tối ưu hóa công cụ tìm kiếm nhằm thu hút người dùng đang tìm kiếm các tiện ích phổ biến.
Theo nhóm nghiên cứu của McAfee, các video quảng bá thường được đầu tư kỹ lưỡng với phần thuyết minh chuyên nghiệp nhằm tạo cảm giác đáng tin cậy. Liên kết tải xuống được chèn trong phần mô tả hoặc bình luận, dẫn người dùng tới các trang web chứa tệp JAR độc hại. Một số video đã thu hút hơn 7.500 lượt xem trước khi bị phát hiện.
Song song với YouTube, kẻ tấn công còn triển khai chiến thuật SEO poisoning, nhắm tới những từ khóa liên quan tới các dự án Minecraft nổi tiếng như Meteor Client, Wurst Client, Aristois, LiquidBounce, Impact Client, Future Client, Inertia Client, Cornos Client hay Gamesense. Do nhiều dự án trong số này chỉ duy trì mã nguồn trên GitHub mà không có website chính thức, người dùng rất dễ bị dẫn dụ truy cập vào các trang giả mạo xuất hiện ở vị trí cao trên kết quả tìm kiếm.
Video trên YouTube quảng cáo các bản mod Minecraft độc hại.
Nguồn: McAfee
Để tăng mức độ tin cậy, một số trang web độc hại thậm chí còn hiển thị cảnh báo về các bản mod giả mạo và liên kết tới kho GitHub hoặc máy chủ Discord chính thức của dự án. Cách thức này khiến người dùng tin rằng họ đang truy cập một nguồn hợp pháp trong khi thực tế đang tải về mã độc.
Trang web phát tán phần mềm độc hại.
Nguồn: McAfee
Điểm đáng chú ý là WeedHack không chỉ là một mã độc đơn lẻ mà được vận hành như một dịch vụ hoàn chỉnh theo mô hình Malware-as-a-Service (MaaS). Thay vì phải tự phát triển công cụ tấn công, bất kỳ ai cũng có thể đăng ký sử dụng nền tảng này miễn phí. WeedHack cung cấp sẵn một bảng điều khiển trực tuyến cho phép người dùng theo dõi nạn nhân, xem dữ liệu đánh cắp và tạo các mẫu mã độc tương thích với nhiều phiên bản Minecraft từ 1.21.0 đến 1.21.10.
Ở phiên bản miễn phí, WeedHack hoạt động như một công cụ đánh cắp thông tin (infostealer) với phạm vi thu thập dữ liệu rất rộng. Mã độc có thể trích xuất Session ID của Minecraft, đánh cắp cookie và thông tin đăng nhập được lưu trên 36 trình duyệt phổ biến, đồng thời thu thập dữ liệu từ 56 tiện ích mở rộng và 12 ứng dụng ví tiền mã hóa. Discord, Steam và Telegram cũng nằm trong danh sách mục tiêu. Ngoài ra, WeedHack còn có khả năng chụp ảnh màn hình để thu thập thêm dữ liệu từ các thiết bị bị xâm nhập.
Với gói trả phí, WeedHack được nâng cấp thành một công cụ truy cập từ xa (RAT) đầy đủ chức năng. Phiên bản này cho phép điều khiển chuột và bàn phím, kích hoạt webcam, ghi lại thao tác gõ phím, thực thi lệnh từ xa và quản lý tệp trên hệ thống nạn nhân. Theo McAfee, không ít người sử dụng nền tảng này là thanh thiếu niên hoặc người trẻ tuổi, chủ yếu lợi dụng các tính năng truy cập từ xa để theo dõi, xâm phạm quyền riêng tư và quấy rối nạn nhân
Ở phiên bản miễn phí, WeedHack hoạt động như một công cụ đánh cắp thông tin (infostealer) với phạm vi thu thập dữ liệu rất rộng. Mã độc có thể trích xuất Session ID của Minecraft, đánh cắp cookie và thông tin đăng nhập được lưu trên 36 trình duyệt phổ biến, đồng thời thu thập dữ liệu từ 56 tiện ích mở rộng và 12 ứng dụng ví tiền mã hóa. Discord, Steam và Telegram cũng nằm trong danh sách mục tiêu. Ngoài ra, WeedHack còn có khả năng chụp ảnh màn hình để thu thập thêm dữ liệu từ các thiết bị bị xâm nhập.
Với gói trả phí, WeedHack được nâng cấp thành một công cụ truy cập từ xa (RAT) đầy đủ chức năng. Phiên bản này cho phép điều khiển chuột và bàn phím, kích hoạt webcam, ghi lại thao tác gõ phím, thực thi lệnh từ xa và quản lý tệp trên hệ thống nạn nhân. Theo McAfee, không ít người sử dụng nền tảng này là thanh thiếu niên hoặc người trẻ tuổi, chủ yếu lợi dụng các tính năng truy cập từ xa để theo dõi, xâm phạm quyền riêng tư và quấy rối nạn nhân
Bảng điều khiển WeedHack.
Nguồn: McAfee
Quy mô của WeedHack phản ánh mức độ đầu tư đáng kể từ phía nhóm vận hành. Theo McAfee, chiến dịch hiện sử dụng hơn 240 địa chỉ phát tán cùng khoảng 3.820 tệp JAR độc hại khác nhau, tạo nên một hạ tầng phân phối rộng lớn có khả năng tiếp cận người dùng trên phạm vi toàn cầu. Phần lớn nạn nhân được ghi nhận tại Mỹ, Đức, Ấn Độ và Anh.
Bên cạnh hạ tầng phát tán đồ sộ, WeedHack còn xây dựng một cộng đồng người dùng tương đối đông đảo. Kênh Telegram chính thức của dự án hiện có hơn 800 thành viên. McAfee nhận định nhiều người sử dụng nền tảng này là thanh thiếu niên hoặc người trẻ tuổi, chủ yếu khai thác các tính năng truy cập từ xa để theo dõi, xâm phạm quyền riêng tư và quấy rối nạn nhân, thay vì thực hiện các chiến dịch tấn công có tổ chức.
Sự phát triển nhanh chóng của WeedHack cho thấy cộng đồng game thủ tiếp tục là mục tiêu hấp dẫn đối với tội phạm mạng. Thay vì khai thác các lỗ hổng kỹ thuật phức tạp, kẻ tấn công lợi dụng nhu cầu cài đặt mod, client tùy chỉnh và các công cụ hỗ trợ chơi game để phát tán mã độc. Chiêu thức này đặc biệt hiệu quả với người dùng trẻ tuổi, những người thường có xu hướng tìm kiếm các tính năng mới hoặc lợi thế trong trò chơi mà không kiểm tra kỹ nguồn gốc của tệp tải xuống.
Trước tình trạng mã độc phát tán ồ ạt qua các bản mod Minecraft không rõ nguồn gốc, người chơi cần thận trọng khi tải và cài đặt các tệp JAR từ Internet, ưu tiên sử dụng các nguồn phát hành chính thức và kiểm tra kỹ liên kết tải xuống trước khi mở tệp. Đối với những người muốn mở rộng trải nghiệm chơi game, Minecraft Marketplace vẫn là lựa chọn an toàn hơn so với các tiện ích được chia sẻ từ những nguồn chưa được kiểm chứng.
Bên cạnh hạ tầng phát tán đồ sộ, WeedHack còn xây dựng một cộng đồng người dùng tương đối đông đảo. Kênh Telegram chính thức của dự án hiện có hơn 800 thành viên. McAfee nhận định nhiều người sử dụng nền tảng này là thanh thiếu niên hoặc người trẻ tuổi, chủ yếu khai thác các tính năng truy cập từ xa để theo dõi, xâm phạm quyền riêng tư và quấy rối nạn nhân, thay vì thực hiện các chiến dịch tấn công có tổ chức.
Sự phát triển nhanh chóng của WeedHack cho thấy cộng đồng game thủ tiếp tục là mục tiêu hấp dẫn đối với tội phạm mạng. Thay vì khai thác các lỗ hổng kỹ thuật phức tạp, kẻ tấn công lợi dụng nhu cầu cài đặt mod, client tùy chỉnh và các công cụ hỗ trợ chơi game để phát tán mã độc. Chiêu thức này đặc biệt hiệu quả với người dùng trẻ tuổi, những người thường có xu hướng tìm kiếm các tính năng mới hoặc lợi thế trong trò chơi mà không kiểm tra kỹ nguồn gốc của tệp tải xuống.
Trước tình trạng mã độc phát tán ồ ạt qua các bản mod Minecraft không rõ nguồn gốc, người chơi cần thận trọng khi tải và cài đặt các tệp JAR từ Internet, ưu tiên sử dụng các nguồn phát hành chính thức và kiểm tra kỹ liên kết tải xuống trước khi mở tệp. Đối với những người muốn mở rộng trải nghiệm chơi game, Minecraft Marketplace vẫn là lựa chọn an toàn hơn so với các tiện ích được chia sẻ từ những nguồn chưa được kiểm chứng.