Un nuovo rapporto di McAfee Labs afferma che una campagna di malware per Minecraft mascherata da mod, cheat e client personalizzati ha compromesso più di 116.000 sistemi da gennaio. L’operazione, chiamata WeedHack, non è solo un altro caso di download loschi che fanno cose losche. I ricercatori affermano che offre ad aggressori inesperti un modo economico per rubare password, dirottare account di gioco e, al livello a pagamento, spiare attraverso webcam e schermi. Perché a quanto pare rovinare una sessione di gioco non era sufficiente.

McAfee ha dichiarato che la campagna aveva registrato 116.464 hit e stava ancora producendo circa 2.000-3.000 nuove infezioni al giorno quando la sua ricerca è stata pubblicata. L’azienda ha collegato l’operazione a più di 3.820 file JAR dannosi unici e a oltre 240 URL di download dannosi.

Gli Stati Uniti hanno registrato la maggiore attività, seguiti da Germania, India, Regno Unito, Italia e altre regioni. La scala conta, ma conta anche il contesto: Minecraft ha un pubblico giovane, enorme e molto aperto alle mod, il che rende gli strumenti falsi una trappola molto efficace.

Come le false mod di Minecraft hanno raggiunto i giocatori

La campagna si è appoggiata a uno schema che sarà familiare a chiunque abbia trascorso del tempo intorno a Minecraft: giocatori che cercano online mod gratuite, client per le prestazioni, cheat, launcher o utility non ufficiali. Quell’ecosistema è creativo e utile. È anche un comodo terreno di caccia per persone che comprendono i comportamenti di ricerca meglio dell’etica di base.

Secondo McAfee, gli aggressori hanno promosso file infetti tramite video su YouTube e avvelenamento dell’ottimizzazione per i motori di ricerca, un metodo usato per spingere pagine dannose più in alto nei risultati per termini di ricerca popolari. Alcuni video includevano voiceover e montaggio curato per sembrare legittimi, con link di download inseriti nelle descrizioni e nei commenti. Un video che promuoveva una mod Minecraft dannosa aveva più di 7.500 visualizzazioni prima di essere segnalato.

Anche i siti falsi erano confezionati per apparire affidabili. Alcuni erano progettati per assomigliare a pagine ufficiali o a rispettati hub di mod della community. In certi casi, rimandavano a repository GitHub legittimi o a server Discord per creare uno strato di credibilità pur continuando a distribuire malware ai visitatori.

McAfee ha affermato che gli aggressori hanno preso di mira ricerche collegate a client e strumenti Minecraft ben noti, tra cui Meteor Client, Radium Client, Wurst Client, LiquidBounce e Impact Client, tra gli altri.

Cosa offriva WeedHack agli aspiranti aggressori

Al centro della campagna c’è una piattaforma di malware-as-a-service. In parole semplici, WeedHack confezionava strumenti di cybercrimine come un abbonamento software, abbassando la soglia tecnica per persone che volevano attaccare altri ma non avevano le competenze per costruire il proprio malware. Un progresso, in un certo senso.

McAfee ha descritto WeedHack come insolito per due ragioni. Primo, era ospitato apertamente sul clear web invece di essere limitato a forum criminali nascosti. Secondo, la sua versione di base era disponibile gratuitamente per chiunque avesse un account Discord e una connessione a internet.

Quel livello gratuito era già pericoloso. Poteva rubare:

  • ID di sessione di Minecraft
  • Cookie del browser e password salvate
  • Credenziali di Discord, Steam e Telegram
  • Dati di wallet crypto
  • Screenshot e informazioni di sistema

La versione a pagamento era più invasiva. Per 5 dollari al mese, o un presunto pagamento a vita di 24,99 dollari, il livello premium di WeedHack aggiungeva funzionalità di controllo remoto, tra cui accesso live alla webcam, condivisione dello schermo con controllo di tastiera e mouse, keylogging, accesso reverse shell e gestione remota dei file.

Anche i reporter di sicurezza di BleepingComputer hanno confermato che la dashboard di WeedHack permetteva ai clienti di visualizzare credenziali rubate e informazioni sottratte da sistemi compromessi.

Perché i file JAR hanno reso la truffa più difficile da individuare

McAfee ha descritto l’infezione come una catena a più fasi che inizia quando un giocatore esegue quello che sembra essere un normale file JAR di Minecraft. Questo dettaglio è importante perché le mod legittime di Minecraft Java Edition sono comunemente distribuite come file JAR. Per molti giocatori, il formato del file in sé non sembra sospetto.

Una volta eseguito, il malware tenta di nascondere la propria attività, raccogliere dettagli di sistema, indebolire le protezioni e stabilire persistenza. Da lì, può distribuire componenti usati per l’accesso remoto e il furto di credenziali.

La campagna ha usato anche una tecnica basata su blockchain nota come EtherHiding. McAfee ha detto che il metodo si basava sulla blockchain di Ethereum per recuperare informazioni di comando e controllo, rendendo parti dell’infrastruttura più difficili da smantellare. In altre parole, l’operazione non si affidava solo a un falso pulsante di download e all’ottimismo. Usava un’infrastruttura a livelli per restare disponibile.

Questa combinazione è ciò che rende il caso particolarmente complicato per giocatori e genitori. L’esca iniziale sembra ordinaria cultura di Minecraft: un client, una mod, un aumento delle prestazioni, una scorciatoia. Il risultato può essere account rubati, dati privati esposti e un aggressore con accesso diretto alla macchina della vittima.

McAfee afferma che adolescenti usavano gli strumenti per molestie

La parte più preoccupante del rapporto non è solo il malware in sé, ma il modo in cui i ricercatori affermano sia stato usato all’interno delle community di gioco.

McAfee ha dichiarato che il canale Telegram di WeedHack aveva più di 850 membri durante la sua indagine, e molti clienti sembravano essere adolescenti o giovani adulti. I ricercatori hanno riferito di aver visto aggressori usare strumenti di accesso remoto per minacciare le vittime, registrarle segretamente attraverso le webcam e condividere i filmati come trofei di cybercrimine.

Questo sposta la storia da una campagna standard di furto di account a qualcosa di più socialmente corrosivo. Minecraft non è semplicemente un gioco con un grande mercato per le mod. È anche uno spazio sociale in cui giovani giocatori comunicano, competono e costruiscono identità. Uno strumento che permette a un giocatore di spiare o ricattare un altro non è solo una minaccia tecnica. È un motore di molestie con una pagina di pagamento.

McAfee ha detto che il canale Telegram era stato chiuso al momento della pubblicazione, anche se l’azienda ha continuato a monitorare eventuali sostituti. Considerato quanto il servizio fosse economico e distribuito apertamente, quella cautela non è esattamente melodrammatica.

Perché Minecraft resta un bersaglio così grande

La popolarità di Minecraft è centrale per il rischio. Il Guinness World Records lo indica come il videogioco più venduto di tutti i tempi, con più di 350 milioni di unità vendute. Quel pubblico enorme sostiene una ricca community di mod, launcher, server e strumenti di terze parti.

Offre anche ai criminali un bacino molto ampio di potenziali vittime. Gli account possono avere valore finanziario, le credenziali di Discord e Steam possono portare ad altri account, e l’accesso al dispositivo di una persona giovane può diventare uno strumento di intimidazione.

Gli esperti di sicurezza avvertono da tempo che le mod dovrebbero essere trattate come software eseguibile, perché di fatto è questo che sono. Il team della documentazione di Fabric, che mantiene risorse per uno dei principali ecosistemi di modding di Minecraft, consiglia ai giocatori di usare fonti affidabili come Modrinth e CurseForge. Avverte inoltre che molti siti che dichiarano di ospitare mod di Minecraft sono in realtà siti di malware.

Le linee guida di Microsoft per Windows raccomandano analogamente di scaricare programmi solo da editori e siti retail affidabili. È un consiglio di base, sì, ma i consigli di base esistono perché internet continua a trovare nuovi modi per punire le persone che li ignorano.

Cosa dovrebbero fare i giocatori dopo un download sospetto

I giocatori che pensano di aver installato una falsa mod, un cheat o un client personalizzato di Minecraft dovrebbero agire rapidamente ed evitare di usare il dispositivo potenzialmente infetto per il recupero degli account.

I passaggi consigliati includono:

  • Disconnettere gli account sospetti e smettere di usare la mod o il client discutibile.
  • Eseguire una scansione antivirus completa.
  • Rimuovere file JAR sconosciuti o scaricati di recente.
  • Reimpostare le password da un dispositivo pulito.
  • Revocare le sessioni attive per Microsoft, Discord, Steam, Telegram e altri account.
  • Controllare gli account email collegati, poiché l’accesso alla posta può essere usato per riprendere il controllo di altri servizi.

Se qualcuno afferma di avere filmati della webcam, file rubati o accesso al dispositivo, le vittime non dovrebbero pagare né negoziare. McAfee consiglia di contattare un adulto fidato, un’autorità scolastica o le forze dell’ordine quando sono coinvolti molestie o estorsione.

La lezione più ampia è diretta: la scena del modding di Minecraft è uno dei motivi per cui il gioco dura da così tanto tempo, ma la fiducia non dovrebbe nascere da un video patinato, un logo familiare o una sezione commenti piena di entusiasmo sospetto. Prima che i giocatori premano “Play”, il download stesso potrebbe già essere il vero pericolo.