Campagne de logiciels malveillants WeedHack
Des chercheurs en cybersécurité ont mis au jour une campagne de logiciels malveillants sophistiquée visant les joueurs de Minecraft, utilisant la manipulation de YouTube et des moteurs de recherche pour infecter les utilisateurs avec un logiciel malveillant capable de prendre le contrôle de leurs systèmes.
L'opération, connue sous le nom de Weedhack, est active depuis janvier 2026. Les cybercriminels dissimulent des logiciels malveillants sous forme de clients et de mods pour Minecraft, incitant ainsi les utilisateurs à télécharger des fichiers infectés. Les chercheurs ont identifié 3 820 fichiers JAR malveillants uniques et plus de 240 URL impliquées dans la distribution du logiciel malveillant.
Pour maximiser sa portée, la campagne utilise des techniques de manipulation du référencement (SEO) et du contenu YouTube faisant la promotion de modifications de Minecraft prétendument légitimes. Les enquêteurs ont déjà identifié plusieurs vidéos et au moins deux chaînes YouTube redirigeant les internautes vers des sites de téléchargement malveillants.
Table des matières
Une plateforme criminelle professionnelle à l’origine de la campagne
Au cœur de l'opération se trouve un tableau de bord avancé hébergé sur weedhack.to, qui permet aux cybercriminels d'accéder aux identifiants volés, aux informations système et aux outils de surveillance des appareils compromis. La plateforme permet également aux utilisateurs de générer des charges utiles malveillantes personnalisées ciblant les versions 1.21.0 à 1.21.11 de Minecraft et même d'injecter du code malveillant dans des modifications légitimes de Minecraft.
L'écosystème de logiciels malveillants est commercialisé via une chaîne Telegram comptant plus de 850 membres. Cette chaîne sert de plateforme centrale pour la promotion du service, la diffusion des mises à jour et l'assistance aux utilisateurs.
Comment fonctionne la chaîne de transmission des infections
L'attaque débute lorsqu'une victime télécharge un fichier JAR malveillant nommé DonutDupe.jar depuis l'un des sites web frauduleux. Une fois exécuté, ce fichier récupère les informations du serveur de commande et de contrôle (C2) via EtherHiding, une technique qui utilise la blockchain Ethereum comme résolveur de boîtes aux lettres mortes.
Le logiciel malveillant contacte ensuite l'infrastructure C2 et télécharge une seconde charge utile Java nommée Elevator.jar. Ce composant collecte des informations système, crée des exclusions dans Microsoft Defender et prépare le système au déploiement d'autres logiciels malveillants.
Un troisième fichier, SecurityManager.jar, assure la persistance du système sur l'appareil infecté et sert de plateforme de transit. Enfin, Component.jar est distribué, activant ainsi l'accès à distance et offrant aux attaquants un contrôle étendu sur les systèmes compromis.
Offres de logiciels malveillants gratuites et premium
La plateforme Weedhack est proposée à travers deux niveaux d'abonnement :
Niveau gratuit : Inclut un puissant voleur d’informations capable de collecter les identifiants de session Minecraft, les données de quatre lanceurs Minecraft, les captures d’écran, les fichiers, les informations système, les cookies du navigateur, les mots de passe de 36 navigateurs Web, les informations de 56 portefeuilles de cryptomonnaies basés sur navigateur et de 12 applications de portefeuille de bureau, ainsi que les identifiants associés à Discord, Steam et Telegram.
Niveau Premium : Disponible à partir de 4,99 $ par mois ou 24,99 $ pour une licence à vie, cette version ajoute des fonctionnalités d'accès à distance avancées telles que la surveillance par webcam, l'enregistrement des frappes au clavier, l'exécution de commandes shell inversées, le partage d'écran avec contrôle du clavier et de la souris, et les capacités de transfert de fichiers.
Portée mondiale et barrières plus faibles à la cybercriminalité
La plupart des infections ont été enregistrées aux États-Unis, suivis par l'Allemagne, l'Inde, le Royaume-Uni, l'Italie, le Vietnam, le Canada, la Norvège, la Suède, la Finlande et l'Espagne.
L'une des caractéristiques principales de Weedhack est sa disponibilité sur le web classique plutôt que sur des plateformes clandestines. En proposant un accès gratuit à des logiciels malveillants sophistiqués et à des tutoriels détaillés, la plateforme facilite grandement l'accès à la cybercriminalité pour les apprentis criminels. La possibilité supplémentaire de voler des comptes Minecraft renforce encore son attrait auprès des jeunes utilisateurs, rendant cette campagne particulièrement dangereuse et efficace.
De la cybercriminalité au cyberharcèlement
Les chercheurs ont également constaté une dimension sociale alarmante à cette campagne. De nombreux clients semblent être des adolescents et de jeunes adultes qui exploitent les fonctionnalités d'accès à distance du logiciel malveillant pour intimider, harceler et surveiller leurs victimes.
Les enquêteurs ont documenté des cas dans lesquels des agresseurs enregistraient secrètement leurs victimes via des webcams compromises, puis partageaient les images sur la chaîne Telegram comme de prétendus « trophées ». Ce comportement met en évidence comment les plateformes de logiciels malveillants comme Weedhack facilitent non seulement la cybercriminalité traditionnelle, mais permettent également le cyberharcèlement ciblé et le harcèlement numérique.
