文章总结： WeedHack是一个针对Minecraft玩家的恶意软件即服务(MaaS)平台，通过伪装游戏模组分发木马化JAR文件，窃取凭证、会话令牌及加密货币，并利用区块链技术增强C2弹性。其低订阅门槛和游戏化仪表板降低了攻击者技术门槛，对青少年玩家社区构成严重隐私与安全威胁，防御需依赖行为监控和动态分析。 综合评分： 87 文章分类： 恶意软件,威胁情报,应用安全,终端安全,数据安全

Weedhack MaaS 瞄准 Minecraft 玩家，窃取账号凭证并劫持账户

原创

ZM ZM

暗镜

2026年6月10日 07:00 北京

在小说阅读器读本章

去阅读

Weedhack 是一个专门针对 Minecraft 玩家设计的恶意软件即服务 (MaaS) 行动，至少从 2026 年 1 月起就一直活跃着。

该服务将凭证窃取、加密货币钱包提取、账户劫持和完整的远程访问功能打包成低成本的订阅服务，并通过搜索引擎优化、YouTube推广和伪造的Minecraft模组网站进行营销。

Weedhack 通过将完善的分发策略与去中心化的基础设施检索和面向客户的仪表板相结合，大大降低了新手威胁行为者的技术门槛，并提高了游戏社区（尤其是年轻用户）的威胁级别。

技术分析显示，Weedhack 主要分发伪装成流行的 Minecraft 客户端和模组的木马化 Java 归档 (JAR) 文件。

执行后，恶意软件会在 javaw.exe 下重新启动以隐藏控制台，读取嵌入式配置数据，并解密以太坊 JSON-RPC 端点、智能合约标识符和嵌入式 RSA 公钥。

这使得该二进制文件能够查询以太坊智能合约以获取实时命令与控制 (C2) 端点，并以加密方式验证响应，这种弹性机制使打击工作变得复杂。

Polyswarm 在一份与 GBhackers 分享的报告中称，他们发现了 32 个不同的 JSON-RPC 端点，并识别出超过 3,820 个恶意 JAR 样本和超过 240 个与该生态系统相关的分发 URL。

Weedhack 的多阶段架构利用 JNIC 混淆技术将 Java 字节码转换为本地代码，从而增加了逆向工程的难度。初始侦察阶段会收集系统元数据、枚举已安装的软件，并尝试创建 Windows Defender 排除项。

后续有效载荷会收集浏览器凭据和 cookie、Discord 令牌、Steam 和 Telegram 凭据以及 Minecraft 会话标识符和启动器数据，从而在不完全泄露密码的情况下劫持帐户。

免费版已经支持凭证和浏览器数据窃取、屏幕截图捕获、Discord 代币窃取和钱包目标定位；高级订阅增加了强大的远程访问功能，包括键盘记录、屏幕共享、文件管理、反向 shell 和网络摄像头监控访问。

Weedhack 与一般的游戏威胁有着显著的技术差异。该攻击活动针对一系列热门客户端和插件，例如 Meteor Client、Aristois、LiquidBounce、Impact Client 等，攻击者会搭建专业网站，以在特定领域的搜索结果中占据主导地位。

据报道，该服务的仪表板显示累计访问量超过 116,000 次，其中包括恶意软件构建器、教程、OPSEC 指南和将感染游戏化的排行榜。

研究人员观察到十多个当前领域和多个历史领域与同一行为者集群相关联，此外还有证据表明，许多客户是青少年或年轻人，他们使用该工具进行账户盗窃、骚扰和监视。

这些操作行为引发了严重的隐私和安全问题。分析人员记录了利用远程访问进行骚扰和网络欺凌的案例，包括在犯罪团伙中共享网络摄像头图像和录制内容。

低成本订阅套餐（每月约 5 美元起）和广泛的分发说明意味着缺乏经验的参与者可以迅速对同龄人发起有效的攻击，从而加剧以青少年为中心的游戏社区的风险。

防御者应将看似无害的基于 Java 的游戏软件视为潜在的攻击载体。有效的检测需要动态分析、行为监控和基础设施关联，因为 Weedhack 的分阶段交付、基于区块链的 C2 发现以及强大的混淆技术能够绕过许多基于特征码的控制措施。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：暗镜 ZM ZM《Weedhack MaaS 瞄准 Minecraft 玩家，窃取账号凭证并劫持账户》