Weedhack usa SEO e YouTube para distribuir JARs maliciosos, CountLoader comprometeu cerca de 86 mil máquinas e mineradores continuam chegando por falsos plugins de vídeo.
| Componente | Campanhas Weedhack, CountLoader e um minerador baseado em fork do SilentCryptoMiner distribuído por conteúdo pirateado. |
| Vetor | Links promovidos por SEO poisoning, vídeos do YouTube, sites de software crackeado, mídia removível USB e falsos avisos de atualização de plugin de vídeo. |
| Impacto | Roubo de contas e credenciais, coleta de informações do sistema, persistência, controle remoto, troca de endereços de criptomoedas na área de transferência e mineração não autorizada. |
| Prioridade | Bloquear downloads de JARs e executáveis não confiáveis, revisar endpoints com uso de Java, PowerShell e comando operacional omitido, remover persistências e validar exclusões indevidas no Microsoft Defender. |
| Artefatos | DonutDupe.jar, Elevator.jar, SecurityManager.jar, Component.jar, HLS Installer.874.exe e DLL maliciosa usada por side-loading. |
| IoCs | Painel Weedhack em domínio defangado weedhack[.]to; mais de 240 URLs de distribuição foram identificadas no ecossistema da campanha. |
Três operações recentes mostram como ecossistemas de entretenimento, software pirateado e instaladores falsos continuam sendo usados para levar malware a usuários finais. A campanha Weedhack mira jogadores de Minecraft desde janeiro de 2026 e se apresenta como clientes ou mods do jogo. A atividade foi associada a 3.820 arquivos JAR maliciosos únicos e a mais de 240 URLs de distribuição. O fluxo usa envenenamento de resultados de busca e vídeos no YouTube para levar vítimas a páginas que oferecem supostos clientes de Minecraft, mas entregam componentes Java usados para roubo de credenciais, coleta de dados do sistema e acesso remoto.
Em paralelo, a campanha CountLoader alcançou uma escala maior, com estimativa de 86 mil máquinas comprometidas. O loader em JavaScript costuma aparecer em sites de software crackeado e foi observado distribuindo cargas como Cobalt Strike, AdaptixC2, PureHVNC RAT, Amatera Stealer e PureMiner. Cerca de 9 mil infecções foram vinculadas à propagação por unidades USB e outras mídias removíveis. Uma terceira linha de atividade usa sites de streaming ilegal de filmes e séries para apresentar uma falsa atualização de plugin de vídeo, que baixa um arquivo ZIP e aciona DLL side-loading para instalar um minerador derivado do SilentCryptoMiner.
No caso do Weedhack, o primeiro estágio documentado é um JAR malicioso chamado DonutDupe.jar, obtido a partir de páginas promovidas por SEO e por descrições de vídeos no YouTube. Após a execução, o malware busca o domínio de comando e controle por meio de EtherHiding, técnica que usa a blockchain Ethereum como resolvedor indireto para recuperar informações de infraestrutura. Esse desenho reduz a dependência de um endereço fixo embutido no binário e dificulta bloqueios baseados apenas em strings estáticas dentro do arquivo inicial.
Depois da resolução do C2, o Weedhack baixa outro JAR, Elevator.jar, responsável por coletar informações do sistema, alterar exclusões do Microsoft Defender e funcionar como ponte para componentes adicionais. O terceiro estágio, SecurityManager.jar, estabelece persistência e prepara a execução do componente final, Component.jar, que concentra recursos de acesso remoto. A infraestrutura também inclui um painel em clear web, no domínio defangado weedhack[.]to, usado por clientes do serviço para consultar credenciais roubadas, dados das máquinas comprometidas e estado das vítimas. O painel permite gerar payloads personalizados para versões do Minecraft de 1.21.0 a 1.21.11 e inserir o malware em mods legítimos.
O CountLoader segue outra lógica operacional. A infecção começa com a execução de um arquivo EXE vindo de ecossistemas de software crackeado. Esse arquivo aciona PowerShell para obter e executar um loader JavaScript ofuscado, com execução intermediada por comando operacional omitido. O comando operacional foi omitido porque não é necessário para defesa e seria reprodutível. Uma vez ativo, o loader configura persistência, contata o C2, tenta se espalhar por USB e aguarda instruções para baixar cargas finais. Na atividade mais recente, a carga final relatada é um clipper de criptomoedas, que monitora a área de transferência e substitui endereços de carteiras para desviar transações.
Na campanha do minerador, a isca é uma atualização falsa de plugin de vídeo apresentada em sites de streaming ou bibliotecas online associadas a conteúdo ilegal. O ZIP entregue contém um executável legítimo, HLS Installer.874.exe, ao lado de uma DLL maliciosa. Quando o executável é iniciado, a DLL é carregada no contexto do processo legítimo por side-loading, permitindo que o código malicioso implante o minerador e configure persistência. A atividade também tenta aumentar tempo de execução, criar exclusões no Defender, interromper a ferramenta de remoção de software malicioso da Microsoft, impedir hibernação e sono automático, repetir prompts de UAC até obter execução elevada e manter um watchdog para reiniciar componentes críticos.
A superfície mais exposta no Weedhack é composta por endpoints de usuários que executam Java e instalam mods, clientes alternativos ou pacotes de Minecraft fora de canais confiáveis. A campanha se aproveita da confiança em tutoriais e demonstrações em vídeo, sobretudo quando a descrição do conteúdo contém links para clientes supostamente funcionais. A presença de dois canais no YouTube e múltiplos vídeos ligados à distribuição mostra que a etapa social não é acessória: ela direciona tráfego para os domínios maliciosos e reduz a percepção de risco por parte de jogadores.
O alcance geográfico observado para Weedhack inclui maior concentração nos Estados Unidos, seguido por Alemanha, Índia, Reino Unido, Itália, Vietnã, Canadá, Noruega, Suécia, Finlândia e Espanha. A operação também tem componente de abuso interpessoal: clientes do serviço, descritos como adolescentes e jovens adultos, usaram recursos de acesso remoto para ameaçar, monitorar e assediar vítimas. Houve relato de gravação por webcam e compartilhamento dos vídeos em canal do Telegram como troféus, o que amplia o impacto para além do roubo de conta ou controle técnico do endpoint.
Para CountLoader, a superfície principal inclui máquinas que executam cracks, instaladores de procedência duvidosa e arquivos vindos de mídia removível. A propagação por USB é especialmente relevante em ambientes com estáções compartilhadas, lan houses, laboratórios, pequenas empresas e redes onde bloqueio de execução automática e controle de dispositivos removíveis são fracos. O minerador via streaming ilegal afeta usuários que aceitam atualizações falsas de plugin de vídeo, mas o mesmo padrão pode atingir qualquer ambiente em que navegadores permitam downloads de fontes não confiáveis e usuários tenham permissão para iniciar instaladores.
- Usuários de Minecraft que instalam clientes ou mods fora de repositórios confiáveis, incluindo pacotes compatíveis com versões 1.21.0 a 1.21.11.
- Endpoints Windows com execução de arquivos EXE obtidos de sites de software crackeado e uso permitido de PowerShell, JavaScript via comando operacional omitido e mídia USB.
- Máquinas expostas a falsos plugins de vídeo baixados de sites de streaming ilegal, com risco adicional quando há permissões locais suficientes para persistência.
A investigação defensiva deve começar por endpoints com execução recente de JARs de origem desconhecida, especialmente quando os nomes dos arquivos se passam por mods de Minecraft ou clientes alternativos. Eventos de criação de processo envolvendo Java, conexões de saída logo após a execução e alterações em exclusões do Microsoft Defender são sinais importantes. Também é útil correlacionar downloads vindos de URLs encurtadas, descrições de vídeos, páginas recém-criadas e domínios associados a comunidades de mods não oficiais.
Para Weedhack, a telemetria deve procurar a sequência aproximada de artefatos DonutDupe.jar, Elevator.jar, SecurityManager.jar e Component.jar, sem depender exclusivamente desses nomes porque o painel permite gerar payloads customizados. A resolução de C2 por EtherHiding pode aparecer como atividade incomum de consulta ou interação indireta com infraestrutura ligada à Ethereum antes do contato com domínios de comando e controle. A existência de webcam ativada sem sessão interativa legítima, captura de tela, movimentação de arquivos e conexões remotas anômalas em máquinas de jogadores também deve entrar na triagem.
Em CountLoader, a cadeia deixa rastros de um EXE inicial chamando PowerShell, seguido por execução de JavaScript ofuscado com comando operacional omitido. Como o loader configura persistência e tenta se espalhar por mídia removível, a defesa deve cruzar eventos de criação de atalhos, arquivos ocultos ou executáveis recém-gravados em unidades USB com novas chaves, tarefas agendadas ou pontos de inicialização automática. Para o clipper de criptomoedas, sinais de troca de conteúdo da área de transferência e processos que monitoram clipboard por longos períodos são mais úteis do que procurar apenas endereços de carteira específicos.
Na campanha do minerador, a trilha envolve um arquivo ZIP, um executável legítimo e uma DLL carregada no mesmo diretório. Eventos de DLL side-loading costumam aparecer como execução de binário assinado ou aparentemente legítimo a partir de pasta de download, temporária ou perfil de usuário, acompanhado por biblioteca não esperada. O consumo sustentado de CPU, criação de exclusões no Defender, tentativas de encerrar ferramentas de segurança da Microsoft, mudanças em políticas de energia e repetição de prompts UAC são indicadores comportamentais relevantes.
- Execução de JARs desconhecidos associada a downloads de mods, seguida por conexões de saída e alterações em exclusões do Microsoft Defender.
- Processos comando operacional omitido e comando operacional omitido iniciados por executáveis vindos de cracks ou diretórios de download.
- Criação de persistência após inserção de USB, gravação de arquivos em mídia removível e execução recorrente a partir de dispositivos externos.
- Carga de DLL não esperada por
HLS Installer.874.exeou por executável legítimo em diretório controlado pelo usuário. - Uso anômalo de webcam, captura de tela, acesso remoto, keylogging, upload ou download de arquivos em máquinas de usuários finais.
A resposta deve priorizar contenção de endpoints com execução confirmada de JARs ou instaladores suspeitos. Em máquinas afetadas por Weedhack, a remoção do arquivo inicial não basta: é necessário procurar os estágios Java adicionais, persistências criadas, alterações de exclusão no Defender e sinais de acesso remoto. Contas de Minecraft e outras credenciais usadas no mesmo sistema devem ser tratadas como expostas quando houver evidência de execução do malware, com rotação de senha e invalidação de sessões. Quando houver suspeita de gravação por webcam ou abuso interpessoal, o caso também exige preservação de evidências e tratamento de privacidade.
Para CountLoader, a contenção deve incluir isolamento do host, bloqueio temporário de mídia removível, varredura de dispositivos USB usados recentemente e revisão de persistências. Como o loader pode entregar diferentes cargas, a limpeza precisa verificar RATs, stealers, ferramentas de pós-exploração e mineradores, não apenas o JavaScript inicial. Em ambientes corporativos, políticas de controle de aplicação devem impedir execução de comando operacional omitido quando não houver necessidade de negócio, limitar PowerShell a modos auditáveis e bloquear execução de binários em diretórios de usuário quando isso for compatível com a operação.
Na atividade do minerador, a mitigação exige remover o par executável legítimo e DLL maliciosa, desfazer exclusões do Defender, restaurar configurações de energia e eliminar watchdogs ou tarefas responsáveis por manter o processo ativo. A defesa também deve bloquear downloads de sites de streaming ilegal e software pirateado por política de navegação, porque essas cadeias dependem de engenharia social e disponibilidade de binários fora de canais oficiais. A validação final deve confirmar ausência de mineração persistente, queda de uso anômalo de CPU e inexistência de novos prompts UAC artificiais.
- Revogar sessões e trocar senhas de contas usadas em endpoints com Weedhack confirmado, incluindo contas de Minecraft e credenciais armazenadas no sistema.
- Revisar e remover exclusões indevidas no Microsoft Defender criadas por JARs, loaders ou mineradores.
- Aplicar controle de aplicação para Java, PowerShell, comando operacional omitido e execução a partir de diretórios de download quando possível.
- Bloquear ou monitorar mídias USB em hosts com sinais de CountLoader e examinar dispositivos usados durante a janela de infecção.
- Criar detecções comportamentais para DLL side-loading, persistência anômala, watchdogs de minerador e manipulação da área de transferência.
0 Comentários