Un nuevo informe de McAfee Labs afirma que una campaña de malware de Minecraft disfrazada de mods, trampas y clientes personalizados ha comprometido más de 116.000 sistemas desde enero. La operación, llamada WeedHack, no es simplemente otro caso de descargas sospechosas haciendo cosas sospechosas. Los investigadores dicen que ofrece a atacantes inexpertos una forma barata de robar contraseñas, secuestrar cuentas de juegos y, en el nivel de pago, espiar a través de webcams y pantallas. Porque, al parecer, arruinar una sesión de juego no era suficiente.

McAfee dijo que la campaña había registrado 116.464 impactos y seguía produciendo aproximadamente entre 2.000 y 3.000 nuevas infecciones al día cuando se publicó su investigación. La empresa vinculó la operación con más de 3.820 archivos JAR maliciosos únicos y más de 240 URL de descarga maliciosas.

Estados Unidos registró la mayor actividad, seguido de Alemania, India, el Reino Unido, Italia y otras regiones. La escala importa, pero también el contexto: Minecraft tiene una audiencia joven, enorme y muy favorable a los mods, lo que convierte las herramientas falsas en una trampa muy eficaz.

Cómo los mods falsos de Minecraft llegaron a los jugadores

La campaña se apoyó en un patrón que resultará familiar a cualquiera que haya pasado tiempo alrededor de Minecraft: jugadores que buscan en internet mods gratuitos, clientes de rendimiento, trampas, launchers o utilidades no oficiales. Ese ecosistema es creativo y útil. También es un coto de caza conveniente para personas que entienden el comportamiento de búsqueda mejor que la ética básica.

Según McAfee, los atacantes promocionaron archivos infectados mediante vídeos de YouTube y envenenamiento de la optimización para motores de búsqueda, un método utilizado para empujar páginas maliciosas a posiciones más altas en los resultados de términos de búsqueda populares. Algunos vídeos incluían locuciones y una edición cuidada para parecer legítimos, con enlaces de descarga colocados en descripciones y comentarios. Un vídeo que promovía un mod malicioso de Minecraft tenía más de 7.500 visualizaciones antes de ser marcado.

Los sitios falsos también estaban arreglados para parecer fiables. Algunos estaban diseñados para asemejarse a páginas oficiales o a centros de mods comunitarios respetados. En ciertos casos, enlazaban a repositorios legítimos de GitHub o servidores de Discord para crear una capa de credibilidad mientras seguían entregando malware a los visitantes.

McAfee dijo que los atacantes apuntaron a búsquedas relacionadas con clientes y herramientas de Minecraft bien conocidos, incluidos Meteor Client, Radium Client, Wurst Client, LiquidBounce e Impact Client, entre otros.

Qué ofrecía WeedHack a los posibles atacantes

En el centro de la campaña hay una plataforma de malware-as-a-service. En términos sencillos, WeedHack empaquetaba herramientas de ciberdelincuencia como una suscripción de software, rebajando el nivel técnico necesario para personas que querían atacar a otros pero no tenían la habilidad de crear su propio malware. Progreso, de algún tipo.

McAfee describió WeedHack como inusual por dos razones. Primero, estaba alojado abiertamente en la web abierta en lugar de limitarse a foros criminales ocultos. Segundo, su versión básica estaba disponible gratis para cualquiera con una cuenta de Discord y conexión a internet.

Ese nivel gratuito ya era peligroso. Podía robar:

  • Identificadores de sesión de Minecraft
  • Cookies del navegador y contraseñas guardadas
  • Credenciales de Discord, Steam y Telegram
  • Datos de monederos cripto
  • Capturas de pantalla e información del sistema

La versión de pago era más invasiva. Por 5 dólares al mes, o un pago vitalicio declarado de 24,99 dólares, el nivel premium de WeedHack añadía funciones de control remoto, incluido acceso en directo a la webcam, compartición de pantalla con control de teclado y ratón, keylogging, acceso mediante shell inversa y gestión remota de archivos.

Los periodistas de seguridad de BleepingComputer también confirmaron que el panel de WeedHack permitía a los clientes ver credenciales robadas e información tomada de sistemas comprometidos.

Por qué los archivos JAR hicieron que la estafa fuera más difícil de detectar

McAfee describió la infección como una cadena de varias etapas que comienza cuando un jugador ejecuta lo que parece ser un archivo JAR normal de Minecraft. Ese detalle es importante porque los mods legítimos de Minecraft Java Edition se distribuyen comúnmente como archivos JAR. Para muchos jugadores, el formato de archivo en sí no parece sospechoso.

Una vez ejecutado, el malware intenta ocultar su actividad, recopilar detalles del sistema, debilitar las protecciones y establecer persistencia. A partir de ahí, puede desplegar componentes utilizados para el acceso remoto y el robo de credenciales.

La campaña también utilizó una técnica basada en blockchain conocida como EtherHiding. McAfee dijo que el método se basaba en la blockchain de Ethereum para recuperar información de mando y control, lo que hacía que partes de la infraestructura fueran más difíciles de desmantelar. En otras palabras, la operación no dependía solo de un botón de descarga falso y de optimismo. Usaba una infraestructura por capas para seguir disponible.

Esa combinación es lo que hace que el caso sea especialmente complicado para jugadores y padres. El señuelo inicial parece cultura ordinaria de Minecraft: un cliente, un mod, una mejora de rendimiento, un atajo. El resultado pueden ser cuentas robadas, datos privados expuestos y un atacante con acceso directo a la máquina de la víctima.

McAfee dice que adolescentes estaban usando las herramientas para acosar

La parte más preocupante del informe no es solo el malware en sí, sino cómo dicen los investigadores que se utilizaba dentro de comunidades de videojuegos.

McAfee dijo que el canal de Telegram de WeedHack tenía más de 850 miembros durante su investigación, y que muchos clientes parecían ser adolescentes o adultos jóvenes. Los investigadores informaron de haber visto a atacantes usar herramientas de acceso remoto para amenazar a víctimas, grabarlas en secreto a través de webcams y compartir las imágenes como trofeos de ciberdelincuencia.

Eso desplaza la historia de una campaña estándar de robo de cuentas a algo más corrosivo socialmente. Minecraft no es simplemente un juego con un gran mercado para mods. También es un espacio social donde los jugadores jóvenes se comunican, compiten y construyen identidades. Una herramienta que permite a un jugador espiar o chantajear a otro no es solo una amenaza técnica. Es un motor de acoso con una página de pago.

McAfee dijo que el canal de Telegram había sido eliminado en el momento de la publicación, aunque la empresa continuaba vigilando posibles reemplazos. Dado lo barato y abiertamente distribuido que era el servicio, esa cautela no es precisamente dramática.

Por qué Minecraft sigue siendo un objetivo tan grande

La popularidad de Minecraft es central para el riesgo. Guinness World Records lo cataloga como el videojuego más vendido de todos los tiempos, con más de 350 millones de unidades vendidas. Esa audiencia masiva sostiene una rica comunidad de mods, launchers, servidores y herramientas de terceros.

También proporciona a los delincuentes una reserva muy grande de víctimas potenciales. Las cuentas pueden tener valor financiero, las credenciales de Discord y Steam pueden conducir a más cuentas, y el acceso al dispositivo de una persona joven puede convertirse en una herramienta de intimidación.

Los expertos en seguridad llevan mucho tiempo advirtiendo de que los mods deben tratarse como software ejecutable, porque eso es efectivamente lo que son. El equipo de documentación de Fabric, que mantiene recursos para uno de los principales ecosistemas de modding de Minecraft, aconseja a los jugadores usar fuentes fiables como Modrinth y CurseForge. También advierte de que muchos sitios que afirman alojar mods de Minecraft son en realidad sitios de malware.

Las directrices de Windows de Microsoft recomiendan de manera similar descargar programas solo de editores y sitios web comerciales de confianza. Es un consejo básico, sí, pero los consejos básicos existen porque internet sigue encontrando nuevas formas de castigar a las personas por ignorarlos.

Qué deben hacer los jugadores después de una descarga sospechosa

Los jugadores que crean que pueden haber instalado un mod, una trampa o un cliente personalizado falso de Minecraft deben actuar rápido y evitar usar el dispositivo posiblemente infectado para recuperar cuentas.

Los pasos recomendados incluyen:

  • Desconectar las cuentas sospechosas y dejar de usar el mod o cliente cuestionable.
  • Ejecutar un análisis antivirus completo.
  • Eliminar archivos JAR desconocidos o descargados recientemente.
  • Restablecer contraseñas desde un dispositivo limpio.
  • Revocar sesiones activas de Microsoft, Discord, Steam, Telegram y otras cuentas.
  • Revisar las cuentas de correo electrónico conectadas, ya que el acceso al correo puede usarse para recuperar el control de otros servicios.

Si alguien afirma tener imágenes de webcam, archivos robados o acceso al dispositivo, las víctimas no deben pagar ni negociar. McAfee aconseja contactar con un adulto de confianza, una autoridad escolar o las fuerzas de seguridad cuando haya acoso o extorsión.

La lección más amplia es directa: la escena de modding de Minecraft es una de las razones por las que el juego ha durado tanto, pero la confianza no debería venir de un vídeo elegante, un logotipo familiar o una sección de comentarios llena de entusiasmo sospechoso. Antes de que los jugadores pulsen “Jugar”, la propia descarga puede ser ya el verdadero peligro.