11万6,000台以上のMinecraftシステムがWeedHackマルウェアに感染

「WeedHack」として知られるマルウェアキャンペーンにより、1月以降、11万6,000台以上 ^[1] のMinecraftシステムが感染した。

今回の侵害は、攻撃者が競争上の優位性を得たいというユーザーの心理を突き、個人のデバイスを侵害させるという、ゲーミングコミュニティにおけるソーシャルエンジニアリングへの脆弱性を浮き彫りにした。悪意のあるコードを正当なソフトウェアに偽装することで、サイバー犯罪者の標的となりやすい層が通常持っている警戒心を回避した形だ。

WeedHackの作戦では、偽のMinecraft MOD、チートツール、およびカスタムクライアントを配布することでプレイヤーを標的にした ^[1], ^[2]。これらのファイルは主にDiscordサーバーや様々なゲーミングコミュニティのチャンネル内で共有されていた ^[2]。インストールされると、マルウェアがホストシステムを侵害し、オペレーターによる不正なコマンドの実行やデータの窃取が可能になる。

セキュリティ研究者は、このキャンペーンをより大規模な「MaaS（malware-as-a-service：サービスとしてのマルウェア）」運用のひとつであると特定した ^[3]。このビジネスモデルでは、開発者が悪意のあるインフラを構築し、そのアクセス権を他のサイバー犯罪者に販売し、購入者が配布とデータ窃取を実行する。この手法により、主開発者はファイルの直接配布から距離を置きつつ、攻撃範囲を拡大させることができる。

11万6,000台以上 ^[1] という感染規模は、マルウェア拡散においてDiscordのようなニッチなコミュニティハブを利用することの有効性を示している。ユーザーはコミュニティの仲間やMOD作成の「エキスパート」とされる人物からの推奨を信頼する傾向があり、サードパーティ製ソフトウェアをインストールするためにセキュリティ警告を無効にする可能性が高いためだ。

ゲームクライアントやMODは機能させるために深いシステム権限を必要とすることが多く、これがマルウェアがオペレーティングシステムに潜伏するための絶好のカモフラージュとなる。WeedHackキャンペーンはこの信頼を悪用し、世界中のMinecraftプレイヤーの膨大なシステムに浸透した。