Videospiele als Dienstleistung sind ein beliebtes Modell unter Spiele-Publishern. Warum ein Spiel mit einem Anfang, einer Mitte und einem Ende verkaufen, wenn man einfach weiterhin Inhalte für dasselbe Spiel produzieren und das Publikum (und seinen Geldbeutel) fesseln kann? Dies ist einer der Gründe, warum Spielekonsolen der alten Schule ein Comeback erleben. Aber was wäre, wenn Hacker die gleiche Taktik ausprobieren und ihren Kunden als Bonus einen kostenlosen Minecraft-„Skin“ anbieten würden?
Kürzlich gab McAfee bekannt, dass es eine neue Malware-Angriffskampagne namens „WeedHack“ entdeckt hat. Bei diesem Virus, der erstmals im Januar dieses Jahres im Internet auftauchte, handelt es sich nicht um gewöhnliche Malware, sondern um ein „Malware-as-a-Service“-Programm, das Benutzer erwerben können, um potenzielle Opfer zu infizieren. Der Virus selbst verhält sich wie ein Standard-Fernzugriffs-Informationsdiebstahler: Sobald ein Computer infiziert ist, kann WeedHack den Bildschirm eines Ziels manipulieren und auf dessen Webcam und Daten zugreifen, aber die Sache wird wirklich unheimlich, wenn man sich ansieht, wie er sich verbreitet.
Laut McAfee locken WeedHack-Benutzer ihre Opfer typischerweise mit dem Versprechen inoffizieller „Minecraft“-Mods und -Clients, wie sie auf File-Hosting-Seiten zu finden sind. Viele verwenden Videos dieser Mods und Clients als Köder, mit Download-Links als Teaser, und jeder, der Dateien von den bereitgestellten Quellen herunterlädt, ist infiziert. Eine weitere beliebte Methode ist „SEO-Poisoning“, bei der WeedHack-Benutzer ihre eigenen Websites hosten, so tun, als wären sie die einzige legitime Quelle ihres „Clients“ oder „Mods“, und die Nachricht auf Websites wie Discord und Reddit verbreiten.
Wie der Virus funktioniert
Da „Minecraft“ bis heute beliebt ist, tarnen viele Bösewichte ihre Viren gerne als Spiel. Kürzlich entdeckte eine Cybersicherheitsgruppe mehr als 200 gefälschte Apps, die darauf ausgelegt waren, über eine automatisierte Abonnement-Engine Geld von Telefonrechnungen zu stehlen, und einige dieser „Apps“ waren als „Minecraft“ getarnt. Unterdessen nutzt WeedHack Kryptowährungen, um die Computer der Opfer auszuspionieren. Nein, im Ernst.
Wenn eine WeedHack-Nutzlast zum ersten Mal heruntergeladen wird, beginnt sie als JAR-Datei (kurz für Java Archive). Dies sollte die Opfer nicht alarmieren, da der offizielle „Minecraft“-Client in Java geschrieben ist. Doch nach der Ausführung startet die Malware als neue ausführbare Datei neu und entschlüsselt eine Liste von Ethereum-Serverdomänen und Ethereum-Smart-Contract-Adressen. Diese Server hosten die Hauptnutzlast von WeedHack und installieren sie auf gefährdeten Computern. Sobald die zweite Malware-Welle installiert ist, entpackt sie ihre Dateien und beginnt mit der Installation und Ausführung ihrer eigenen Skripte. Einer der bösartigsten Tricks von WeedHack besteht darin, dass es sich in dieser Phase selbst zu Antiviren-Ausschlusslisten hinzufügt, sodass es unbehelligt weiterarbeiten kann. Microsoft sagt, dass Sie keine Antiviren-Suiten von Drittanbietern mehr benötigen, aber den Tests von McAfee zufolge war Windows Defender nicht in der Lage, WeedHack zu stoppen.
Während WeedHack weiterhin in das System eines Opfers eindringt, sammelt es so viele Informationen wie möglich über den Computer des Hosts, einschließlich verbundener Wi-Fi-Netzwerke, Browser-Cookies und Discord-Tokens. Schließlich implementiert WeedHack Fernzugriffsfunktionen, die Hackern die Schlüssel zu Ihrem virtuellen Königreich (d. h. Ihrem Computer) geben. Nach der vollständigen Integration können WeedHack-Handler Sie über Ihre Webcam ausspionieren, Ihre Krypto-Wallet-Anmeldedaten stehlen und geplante Aufgaben einrichten, um Ihren Computer zu infizieren.
WeedHack ist sowohl ein Virus als auch eine Community
Obwohl McAfee davon ausgeht, dass ein einzelner „Bedrohungsakteur“ hinter dem Schadcode steckt, aus dem die WeedHack-Malware besteht, ist der Virus besonders heimtückisch, da es sich nicht nur um einen Virus handelt, der Benutzer infiziert. WeedHack ist auch ein echtes Trainingsprogramm für zukünftige Hacker.
Den Erkenntnissen von McAfee zufolge wird der WeedHack-Virus in zwei Ebenen unterteilt. Die erste Stufe (kostenlos) umfasst WeedHack und seine Kernfunktionen zum Informationsdiebstahl, aber Benutzer können für Abonnements bezahlen (ab 5 US-Dollar pro Monat), die Funktionen wie Webcam-Zugriff und Keylogger hinzufügen. Ja, ein Hacker hat tatsächlich eine Seite aus dem Freemium-MMO-Playbook geklaut, aber die Situation ist noch schlimmer.
Nach den Erkenntnissen von McAfee hat sich rund um WeedHack eine ganze Community gebildet. Der Original Coder bietet Tutorials zu Themen wie der Verwendung von WeedHack, der Zielauswahl und der Angriffsoptimierung. Darüber hinaus behandelt der ursprüngliche Bedrohungsakteur seine Kunden so, als wären sie Freunde auf einem Discord-Server. Die WeedHack-Community verfügt über eine eigene Website mit einer Vorschlagsbox, in der Abonnenten Funktionen anfordern können, einer Bestenliste, die Abonnenten dazu ermutigt, so viele Kills wie möglich zu sammeln, und einem „Build“-Bereich, in dem Abonnenten benutzerdefinierte WeedHack-Payloads erstellen und legitime Minecraft-Mods infizieren können. McAfee glaubt, dass WeedHack seine Effektivität und Tödlichkeit diesem Fokus auf die Gemeinschaft verdankt, da es die Eintrittsbarriere senkt, indem es Neulingen die Grundlagen beibringt. Und WeedHack nutzt „Minecraft“ als Vehikel, weil seine Hauptzielgruppe Kinder sind, die nicht wirklich verstehen, wie sie online sicher bleiben können.