一个表面无害的Minecraft模组,正在悄悄偷走玩家的账号。安全机构DarkAtlas发现,这款名为LoaderClient的恶意软件已经感染了超过116000个独立系统,攻击从2026年1月启动,到6月时每天仍有2000到3000台新设备沦陷。
它伪装成Fabric模组,启动后第一时间就抓取玩家的显示名称、账户UUID和微软OAuth访问令牌。那个令牌的危险之处在于,攻击者拿着它就能接管账户,既不需要密码,也绕过了双因素认证。玩家在不知情的情况下,把自己的数字身份完整交给了对方。
这批恶意软件背后是一个叫WeedHack的平台,本质上是“恶意软件即服务”,免费就能用,付五美元还能解锁月费版本。截至2026年6月,该平台已经产出超过3820个不同的恶意文件。Telegram上聚集了超过850名注册操作者,其中不少是青少年,把这些工具用在同龄人骚扰、摄像头偷窥和社交媒体劫持上。低成本恶意软件正从纯粹的经济犯罪,转向个人恩怨的武器化。
扩散途径让人防不胜防。操作者在YouTube上传制作精良的模组展示视频,把恶意下载链接埋在描述区。他们还架设仿冒正规模组网站的假门户,利用SEO投毒把排名顶上去。更麻烦的是,Minecraft玩家圈子里有个惯性思维——把杀毒软件的报警当成误报,很多人直接关掉防护就运行了这些文件。
真正让LoaderClient难以围剿的,是它的命令与控制架构。恶意代码里没有写死服务器地址,而是通过以太坊智能合约来获取活跃的C2域名,这种手法叫EtherHiding。智能合约返回域名时会附带一个RSA数字签名,恶意软件用硬编码的2048位RSA公钥去验证这个签名。只有操作者手里的私钥能生成有效签名,就算有人篡改了合约内容,恶意软件也会拒绝连接。这意味着传统的域名查封、托管商施压这些手段,对它根本不起作用。
通过签名验证之后,LoaderClient在内存里直接下载第二阶段负载,整个过程不往硬盘上写任何文件。这个负载用JNIC v3.7.0编译,所有逻辑藏在加密的Windows原生DLL里。它还会通过同一个以太坊合约独立重新解析C2地址,并利用DNS-over-HTTPS进一步隐藏通信流量。
热门跟贴