Pesquisadores de segurança alertam para uma campanha chamada Weedhack que usa vídeos no YouTube e SEO poisoning para distribuir malware que atinge jogadores de Minecraft; o mesmo relatório também detalha a grande propagação do loader CountLoader (com cerca de 86 mil máquinas comprometidas) e campanhas antigas que espalham mineradores por sites de streaming pirata.
Pesquisadores de segurança identificaram uma campanha que mira jogadores de Minecraft por meio do YouTube para distribuir malware capaz de controlar sistemas.
Batizada de Weedhack, a operação oferece o malware como serviço (MaaS) e vem ativa desde janeiro de 2026, usando clientes e mods falsos do jogo para infectar usuários.
Foram encontrados 3.820 arquivos JAR maliciosos distintos e mais de 240 URLs responsáveis pela distribuição.
O ataque começa com um JAR chamado DonutDupe.jar que busca informações do servidor de comando e controle por meio de uma técnica que usa a blockchain Ethereum como resolvedor.
Em seguida o código baixa outro JAR, Elevator.jar, que coleta informações do sistema, cria exclusões no Microsoft Defender e serve para entregar componentes adicionais.
Entre esses está o SecurityManager.jar, que garante persistência, e o Component.jar, responsável pelas funcionalidades de acesso remoto.
Os criminosos oferecem um painel empresarial acessível na internet que mostra credenciais roubadas e permite criar cargas personalizadas, inclusive injetá-las em mods legítimos.
O serviço é divulgado por um canal no Telegram com mais de 850 membros e tem versões free e premium, sendo que a premium oferece recursos como acesso à webcam, keylogger e controle remoto por assinaturas a partir de US$4,99 por mês.
A campanha usa SEO poisoning e descrições de vídeos no YouTube com links para clientes maliciosos, e a maioria das infecções foi observada nos Estados Unidos, seguida por Alemanha, Índia, Reino Unido, Itália e outros países.
Pesquisadores relataram que adolescentes e jovens aparentam usar as ferramentas para assediar vítimas, gravando webcams e compartilhando os vídeos como “troféus”.
No mesmo relatório, foi detalhada uma campanha separada do CountLoader, um loader em JavaScript que comprometeu cerca de 86.000 máquinas e costuma ser distribuído por sites de software pirata.
O CountLoader inicia pela execução de um EXE, que dispara um PowerShell para baixar um JavaScript ofuscado que é executado via mshta.exe e, em seguida, entrega loaders e backdoors diversos.
Cerca de 9.000 dessas infecções ocorreram via drives USB e mídias removíveis, com a Índia como o país mais afetado.
Por fim, foi identificado um esquema antigo que usava sites de streaming pirata para distribuir um minerador de criptomoedas disfarçado de atualização de plugin, usando DLL side-loading para executar um fork do SilentCryptoMiner.
Esse minerador configurava exclusões no Defender, pressionava o UAC repetidamente para tentar elevar privilégios, iniciava um watchdog para manter a execução e podia rodar um agente RAT além de mineradores baseados em XMRig para CPU e GPU.
