Cybersecurityonderzoekers hebben een nieuwe malwarecampagne ontdekt die Minecraft-spelers via YouTube als doelwit heeft. De campagne, door McAfee Labs gedoopt tot Weedhack, is sinds januari 2026 actief en verspreidt zich door Minecraft-clients en mods na te bootsen om zo systemen van slachtoffers te infecteren.

In totaal zijn 3820 unieke kwaadaardige JAR-bestanden en meer dan 240 schadelijke URL's geïdentificeerd die de malware verspreiden. De campagne maakt gebruik van SEO-poisoning en YouTube-video's met Minecraft-gerelateerde content om verkeer naar deze schadelijke websites te leiden, aldus securityonderzoeker Aayush Tyagi. Daarbij zijn meerdere YouTube-kanalen en video's gevonden die Minecraft-mods en clients demonstreren en gebruikers doorverwijzen naar de malafide links.

Centraal in de campagne staat een enterprise-grade dashboard ("weedhack[.]to") waarmee klanten gestolen inloggegevens en systeeminformatie kunnen inzien en op afstand geïnfecteerde systemen kunnen monitoren. Criminelen kunnen via dit platform aangepaste malwarepayloads maken die Minecraft-versies 1.21.0 tot 1.21.11 kunnen aanvallen en zelfs malware injecteren in legitieme Minecraft-mods.

De aanval begint met het downloaden van een kwaadaardig JAR-bestand genaamd "DonutDupe.jar" van de schadelijke websites. Dit bestand gebruikt een techniek genaamd EtherHiding, waarbij de Ethereum-blockchain wordt ingezet als een dead drop resolver om het command-and-control (C2) serverdomein op te halen. Vervolgens haalt de malware een tweede payload op, "Elevator.jar", die systeeminformatie verzamelt, Microsoft Defender uitsluitingen configureert en twee extra payloads aflevert. De derde payload zorgt voor persistente toegang en bereidt de weg voor de laatste component die de remote access functionaliteiten activeert.

De ontwikkelaars van deze malware promoten hun diensten via een Telegram-kanaal met meer dan 850 leden, waar updates en klantenondersteuning worden geboden. Het platform kent twee abonnementsvormen: een gratis versie met uitgebreide infostealer-mogelijkheden, waaronder het stelen van Minecraft-sessie-ID's, screenshots, bestanden, cookies en wachtwoorden uit tientallen browsers en wallet-apps, en een premium versie vanaf $4,99 per maand die extra functies biedt zoals webcamtoegang, keylogging, reverse shell en bestandsuitwisseling.

De infectieketens draaien vooral om SEO-poisoning en YouTube-video's met links naar kwaadaardige Minecraft-clients, waarmee onoplettende gebruikers worden misleid. De meeste besmettingen zijn vastgesteld in de Verenigde Staten, gevolgd door Duitsland, India, het Verenigd Koninkrijk, Italië, Vietnam, Canada, Noorwegen, Zweden, Finland en Spanje.

Volgens McAfee Labs onderscheidt Weedhack zich doordat het op het open internet wordt gehost en geavanceerde malware gratis toegankelijk maakt, wat de drempel voor misbruik verlaagt. De focus op het stelen van Minecraft-accounts trekt bovendien een jongere doelgroep aan. Deze combinatie maakt de campagne bijzonder gevaarlijk. Daarnaast is vastgesteld dat de malware wordt ingezet voor cyberpesten, waarbij vooral tieners en jongvolwassenen de remote access functies gebruiken om slachtoffers te bedreigen, lastig te vallen en te bespioneren.