Los especialistas en seguridad de la informacion de la empresa F6 detectaron una campana dirigida contra los usuarios rusos de Minecraft. Segun informo F6 a TASS, los delincuentes distribuyen software malicioso bajo la apariencia de mods y cheats para el juego a traves de una red de cuentas de TikTok orientadas a la audiencia rusohablante. El software instalado agrega correctamente funciones de juego, pero al mismo tiempo despliega el infostealer WeedHack, orientado al robo de datos sensibles.
La infraestructura del ataque se basaba parcialmente en recursos rusos: 14 servidores de control estaban alojados en la zona de dominio .ru y fueron bloqueados de forma operativa tras su deteccion. Servidores adicionales se encuentran en Chipre; ya se han enviado solicitudes para su bloqueo. WeedHack es capaz de extraer credenciales de 40 navegadores, tokens de Minecraft y Discord, asi como frases semilla de monederos de criptomonedas.
Un peligro especial para los usuarios rusos lo representa el modulo de interceptacion de sesiones de Telegram: el malware obtiene acceso a la carpeta local con los datos cifrados del mensajero, lo que permite eludir la autenticacion de dos factores y tomar por completo el control de la cuenta.
Si hace un ano campanas similares atacaban dispositivos Android a traves de bots de Telegram, ahora el objetivo han pasado a ser las computadoras con Windows.
El uso de TikTok como canal de distribucion y de dominios .ru indica la adaptacion de los delincuentes al panorama digital ruso. La audiencia objetivo, jugadores jovenes que a menudo descuidan la ciberhigiene, sigue siendo vulnerable incluso despues del bloqueo de parte de los servidores, ya que el malware puede cargar modulos desde nodos extranjeros que han sobrevivido.