Tin tặc đang ẩn chứa các biến thể mã độc WeedHack nguy hiểm bên trong các bản mod và ứng dụng game Minecraft phổ biến. Chúng sử dụng video YouTube và các thủ thuật tối ưu hóa công cụ tìm kiếm (SEO poisoning) để lôi kéo những người chơi không nghi ngờ vào bẫy.
Chiến dịch này, được biết đến với tên gọi WeedHack, đã lặng lẽ hoạt động từ tháng 1 năm 2026. Tính đến nay, nó đã gây ảnh hưởng đến hơn 116.000 nạn nhân trên toàn cầu.
Tổng quan về Chiến dịch Mã độc WeedHack
Điều đáng báo động về chiến dịch này là cách thức nó tự đóng gói như một dịch vụ hợp pháp. WeedHack hoạt động như một nền tảng Malware-as-a-Service (MaaS).
Nền tảng này cho phép bất kỳ ai cũng có thể đăng ký, tải xuống payload độc hại được tạo sẵn, và bắt đầu lây nhiễm cho người khác một cách dễ dàng.
Khả năng Đánh cắp Dữ liệu của Mã độc WeedHack
Gói dịch vụ miễn phí của WeedHack đã có khả năng đánh cắp mật khẩu từ 36 trình duyệt khác nhau.
Nó cũng có thể lấy thông tin đăng nhập từ hơn 56 ví tiền điện tử dựa trên trình duyệt. Ngoài ra, nó còn đánh cắp chi tiết đăng nhập của các nền tảng như Discord, Steam và Telegram.
Phân tích kỹ thuật của McAfee Labs
Các nhà phân tích tại McAfee Labs đã thực hiện một báo cáo chi tiết về chiến dịch mã độc WeedHack này. Họ đã chia sẻ phát hiện của mình với Cyber Security News (CSN) để công bố toàn diện phạm vi của nó. Độc giả có thể tham khảo thêm tại: McAfee Labs: WeedHack Minecraft Malware-as-a-Service Campaign Research.
Nghiên cứu của họ đã phát hiện hơn 3.820 tệp JAR độc hại duy nhất. Đồng thời, có hơn 240 URL đang tích cực phân phối mã độc.
Tỷ lệ lây nhiễm ước tính khoảng 2.000 đến 3.000 nạn nhân mới mỗi ngày. Chiến dịch đặc biệt hoạt động mạnh ở một số khu vực địa lý nhất định.
Mục đích Khai thác Ngoài Đánh cắp Tài khoản
Phát hiện đáng lo ngại nhất là về những đối tượng đang sử dụng mã độc WeedHack. Các nhà nghiên cứu nhận thấy nhiều khách hàng của WeedHack dường như là thanh thiếu niên và người trẻ.
Họ sử dụng công cụ này không chỉ để đánh cắp tài khoản, mà còn để quấy rối và bắt nạt nạn nhân.
Nạn nhân đã bị ghi hình thông qua webcam bị chiếm quyền điều khiển. Các video này sau đó được chia sẻ trên các kênh Telegram như một hình thức khoe khoang về hoạt động tội phạm mạng.
Lời khuyên cho nạn nhân bị tấn công mạng
Nếu ai đó trở thành nạn nhân của mã độc WeedHack và bị kẻ tấn công đe dọa, các nhà nghiên cứu khuyến nghị mạnh mẽ không nên làm theo hướng dẫn của kẻ tấn công.
Thay vào đó, nạn nhân nên liên hệ với người lớn đáng tin cậy như cha mẹ hoặc người giám hộ và báo cáo sự việc ngay lập tức. Việc tuân thủ yêu cầu của kẻ tấn công có thể dẫn đến những tổn hại sâu rộng hơn.
Phương thức Lây lan của Mã độc WeedHack
Mã độc WeedHack lây lan qua hai phương thức chính: video YouTube giả mạo và SEO poisoning.
Video YouTube giả mạo
Các tác nhân đe dọa tải lên các video được chỉnh sửa chuyên nghiệp, giới thiệu các bản mod và ứng dụng Minecraft. Các video này thường có lồng tiếng để tăng tính xác thực.
Một video như vậy đã thu hút hơn 7.500 lượt xem. Nó bao gồm một liên kết dẫn đến trang web tải xuống độc hại trong phần mô tả.
Kỹ thuật SEO Poisoning
Chiến dịch này chủ động nhắm mục tiêu vào các bản mod Minecraft không có trang web chính thức. Điều này giúp chúng dễ dàng thống trị kết quả tìm kiếm cho các từ khóa liên quan.
Các trang web giả mạo được xây dựng để trông rất thuyết phục. Một số thậm chí còn bao gồm các cảnh báo bảo mật giả, yêu cầu người dùng chỉ tải xuống từ trang của họ.
Để tăng độ tin cậy, các trang này còn liên kết đến các máy chủ Discord và trang GitHub chính thức.
Ngoài các video, chiến dịch còn hướng dẫn khách hàng của mình tham gia vào các cuộc thảo luận trên Discord và Reddit. Mục đích là để lặng lẽ quảng bá các trang web độc hại mà không gây nghi ngờ.
Bảng điều khiển của WeedHack thậm chí còn cung cấp các hướng dẫn từng bước về cách sử dụng hiệu quả cả hai phương pháp. Các hướng dẫn này bao gồm mẹo về cách nhắm mục tiêu từ khóa và tránh các lỗi phổ biến.
Kỹ thuật Ẩn chứa C2 Độc đáo: EtherHiding
Điểm khác biệt về mặt kỹ thuật của mã độc WeedHack là việc sử dụng kỹ thuật EtherHiding. Đây là một phương pháp ẩn địa chỉ máy chủ Command-and-Control (C2) của mã độc trên blockchain Ethereum.
Kỹ thuật này làm cho việc gỡ bỏ cơ sở hạ tầng trở nên cực kỳ khó khăn. Địa chỉ C2 không được lưu trữ trong chính mã độc mà được lấy trực tiếp từ một hợp đồng thông minh trên blockchain.
Các phản hồi từ C2 cũng được ký bằng RSA. Điều này nhằm ngăn chặn bất kỳ ai chiếm quyền điều khiển chiến dịch.
Chuỗi Lây nhiễm Mã độc WeedHack
Khi nạn nhân chạy tệp JAR bị nhiễm mã độc WeedHack, nó sẽ khởi động một chuỗi lây nhiễm gồm bốn giai đoạn.
Giai đoạn 1: Thu thập địa chỉ C2
Giai đoạn đầu tiên âm thầm lấy tên miền C2 từ blockchain. Việc này đảm bảo tính bền vững và khả năng chống bị gỡ bỏ của mã độc.
Giai đoạn 2: Tải payload vào bộ nhớ
Giai đoạn thứ hai tải một payload đã được làm rối (obfuscated) trực tiếp vào bộ nhớ. Nó sử dụng một trình tải lớp tùy chỉnh (custom class loader) để tránh bị phát hiện.
Giai đoạn 3 & 4: Thiết lập chiếm quyền điều khiển và công cụ truy cập từ xa
Giai đoạn ba và bốn thiết lập tính bền vững trên hệ thống. Đồng thời, chúng triển khai các công cụ truy cập từ xa.
Các công cụ này bao gồm khả năng truy cập webcam, ghi lại thao tác bàn phím (keylogging), và khả năng tạo reverse shell. Điều này cho phép kẻ tấn công kiểm soát toàn diện hệ thống.
Vô hiệu hóa Bảo vệ và Duy trì Sự tồn tại
Mã độc WeedHack cũng thả một tập lệnh thêm hàng chục đường dẫn loại trừ vào Windows Defender. Hành động này nhằm mục đích vô hiệu hóa hiệu quả phần mềm diệt virus tích hợp.
Một tác vụ giám sát (watchdog task) sau đó chạy cứ mỗi hai phút. Nhiệm vụ của nó là khôi phục bất kỳ thành phần nào bị xóa. Điều này làm cho việc gỡ bỏ thủ công trở nên rất khó khăn nếu không có các công cụ chuyên dụng, tăng cường khả năng duy trì chiếm quyền điều khiển của mã độc.
Chỉ số Thỏa hiệp (IoCs)
Để ngăn chặn việc giải quyết hoặc siêu liên kết ngẫu nhiên, các địa chỉ IP và tên miền đã được cố ý làm mờ (ví dụ: [.]).
Xin lưu ý rằng các IoC này chỉ nên được khôi phục định dạng ban đầu (re-fang) trong các nền tảng threat intelligence được kiểm soát như MISP, VirusTotal, hoặc SIEM của tổ chức bạn.
