北京
一個表面無害的Minecraft模組,正在悄悄偷走玩家的賬號。安全機構DarkAtlas發現,這款名為LoaderClient的惡意軟件已經感染了超過116000個獨立系統,攻擊從2026年1月啟動,到6月時每天仍有2000到3000臺新設備淪陷。
它偽裝成Fabric模組,啟動后第一時間就抓取玩家的顯示名稱、賬戶UUID和微軟OAuth訪問令牌。那個令牌的危險之處在于,攻擊者拿著它就能接管賬戶,既不需要密碼,也繞過了雙因素認證。玩家在不知情的情況下,把自己的數字身份完整交給了對方。
這批惡意軟件背后是一個叫WeedHack的平臺,本質上是“惡意軟件即服務”,免費就能用,付五美元還能解鎖月費版本。截至2026年6月,該平臺已經產出超過3820個不同的惡意文件。Telegram上聚集了超過850名注冊操作者,其中不少是青少年,把這些工具用在同齡人騷擾、攝像頭偷窺和社交媒體劫持上。低成本惡意軟件正從純粹的經濟犯罪,轉向個人恩怨的武器化。
擴散途徑讓人防不勝防。操作者在YouTube上傳制作精良的模組展示視頻,把惡意下載鏈接埋在描述區。他們還架設仿冒正規模組網站的假門戶,利用SEO投毒把排名頂上去。更麻煩的是,Minecraft玩家圈子里有個慣性思維——把殺毒軟件的報警當成誤報,很多人直接關掉防護就運行了這些文件。
真正讓LoaderClient難以圍剿的,是它的命令與控制架構。惡意代碼里沒有寫死服務器地址,而是通過以太坊智能合約來獲取活躍的C2域名,這種手法叫EtherHiding。智能合約返回域名時會附帶一個RSA數字簽名,惡意軟件用硬編碼的2048位RSA公鑰去驗證這個簽名。只有操作者手里的私鑰能生成有效簽名,就算有人篡改了合約內容,惡意軟件也會拒絕連接。這意味著傳統的域名查封、托管商施壓這些手段,對它根本不起作用。
通過簽名驗證之后,LoaderClient在內存里直接下載第二階段負載,整個過程不往硬盤上寫任何文件。這個負載用JNIC v3.7.0編譯,所有邏輯藏在加密的Windows原生DLL里。它還會通過同一個以太坊合約獨立重新解析C2地址,并利用DNS-over-HTTPS進一步隱藏通信流量。
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
