Minecraft ve Kripto Hırsızlığına Yönelik 3 Kritik Siber Saldırı Kampanyası

Anasayfa » Minecraft ve Kripto Hırsızlığına Yönelik 3 Kritik Siber Saldırı Kampanyası
Kötü Amaçlı Yazılımlar, Kripto Güvenliği, Saldırı Kampanyaları
Haziran 3, 2026Haziran 3, 2026Tarafından Cybernews.TR
0
Minecraft ve Kripto Hırsızlığına Yönelik 3 Kritik Siber Saldırı Kampanyası

Son analizler, Minecraft kullanıcılarını hedef alan gelişmiş bir kötü amaçlı yazılım kampanyasının yanı sıra, kripto para hırsızlığı ve madenciliği yapan farklı zararlı yazılım operasyonlarını ortaya koydu. Bu saldırılar, dünya genelinde özellikle genç kullanıcılar ve yazılım korsanlığına maruz kalan sistemler üzerinde etkili oldu.

Minecraft Odaklı Kötü Amaçlı Yazılım Kampanyası

2026 yılının başından beri aktif olan ve “Weedhack” kod adı verilen bu malware-as-a-service (MaaS) kampanyası, Minecraft istemcileri ve modlarını taklit ederek kullanıcıları enfekte ediyor. Yaklaşık 3.820 benzersiz zararlı JAR dosyası ve 240’tan fazla dağıtım URL’si tespit edildi. Saldırganlar, SEO zehirlenmesi ve YouTube videoları üzerinden trafiği kötü amaçlı bağlantılara yönlendiriyor. Bu videolar Minecraft modları ve istemcileri gösterirken, izleyicileri zararlı yazılım içeren sitelere çekiyor.

Kampanyanın merkezinde, “weedhack[.]to” adlı kurumsal düzeyde bir kontrol paneli bulunuyor. Bu panel, çalınan kimlik bilgileri ve sistem verilerini görüntülemeye, uzaktan kontrol sağlamaya ve Minecraft 1.21.0 ile 1.21.11 sürümlerine yönelik özel zararlı yükler oluşturulmasına olanak tanıyor. Ayrıca, meşru Minecraft modlarına zararlı kod enjekte edilebiliyor.

Saldırı zinciri, “DonutDupe.jar” adlı kötü amaçlı JAR dosyasının indirilmesiyle başlıyor. Bu dosya, Ethereum blok zincirini kullanarak C2 sunucu alan adını gizleyen EtherHiding tekniğiyle komut sunucusunu buluyor. Sonrasında, sistem bilgisi toplayan ve Microsoft Defender hariç tutmaları ayarlayan “Elevator.jar” dosyası indiriliyor. Ardından, kalıcılık sağlayan ve uzaktan erişim özelliklerini aktive eden “SecurityManager.jar” ve “Component.jar” bileşenleri devreye giriyor.

Saldırganlar, Telegram üzerinden 850’den fazla üyeye sahip bir kanal aracılığıyla araçlarını tanıtıyor ve destek sağlıyor. Araç, ücretsiz ve premium olmak üzere iki versiyona ayrılıyor. Ücretsiz sürüm, Minecraft oturum kimlikleri, dört farklı launcher, 36 web tarayıcısından çerez ve şifre toplama gibi kapsamlı bilgi hırsızlığı yapabiliyor. Premium sürüm ise webcam erişimi, keylogger, ters kabuk (reverse shell), ekran paylaşımı ve dosya transferi gibi gelişmiş uzaktan erişim özellikleri sunuyor.

CountLoader ve Kripto Para Kliperi

Başka bir büyük kampanya ise yaklaşık 86.000 benzersiz cihazı etkileyen CountLoader adlı JavaScript yükleyicisi etrafında şekilleniyor. Genellikle kırılmış yazılım siteleri üzerinden yayılan CountLoader, Cobalt Strike, AdaptixC2, PureHVNC RAT, Amatera Stealer ve PureMiner gibi çeşitli zararlı yazılımları dağıtıyor. Yaklaşık 9.000 enfeksiyonun USB ve çıkarılabilir medya yoluyla gerçekleştiği belirtiliyor. En çok enfeksiyon Hindistan, Endonezya ve ABD’de gözlemlendi. CountLoader, “mshta.exe” kullanılarak çalışan PowerShell komutlarıyla başlatılıyor ve C2 sunucusuyla iletişim kurup USB üzerinden yayılmaya çalışıyor. Son aşamada ise kripto para işlemlerini hedefleyen clipboard kliperi devreye giriyor.

Yasadışı İçerik Üzerinden Kripto Madenciliği

Uzun süredir devam eden bir başka operasyon ise korsan film ve dizi izleme siteleri üzerinden sahte video oynatıcı güncellemesi olarak yayılan kripto para madencisi zararlısını içeriyor. ZIP arşivi içinde yer alan kötü amaçlı DLL, DLL side-loading yöntemiyle meşru bir yürütülebilir dosyaya enjekte ediliyor. Bu zararlı, Defender hariç tutmaları yapılandırıyor, Microsoft’un kötü amaçlı yazılım kaldırma aracını sonlandırıyor ve sistem uyku modlarını devre dışı bırakarak madencinin maksimum süre çalışmasını sağlıyor. Ayrıca, UAC yükseltme istekleri gönderiyor, watchdog ile madencinin sürekli çalışmasını garanti ediyor ve XMRig tabanlı CPU ile GPU madenciliği yapıyor.

Saldırı Zinciri ve Teknik Özet

  • Weedhack kampanyası: SEO zehirlenmesi ve YouTube videoları ile kötü amaçlı JAR dosyalarının dağıtımı, Ethereum tabanlı EtherHiding C2 gizleme, Minecraft modlarına zararlı kod enjekte edilmesi.
  • CountLoader: Kırılmış yazılım siteleri üzerinden JavaScript yükleyici, USB ile yayılma, Cobalt Strike ve kripto kliperi dağıtımı.
  • Korsan içerik madenciliği: Sahte video oynatıcı güncellemesi, DLL side-loading, Defender hariç tutma, UAC yükseltme, XMRig CPU/GPU madenciliği.

Siber Güvenlik Ekipleri İçin Öneriler

  • EDR ve SIEM sistemlerinde Minecraft modları ve Java tabanlı JAR dosyalarına yönelik anormallikleri izleyin.
  • Web filtreleme ve DNS kayıtlarını kullanarak şüpheli SEO zehirlenmesi ve YouTube kaynaklı trafik artışlarını tespit edin.
  • USB ve çıkarılabilir medya kullanımını kısıtlayarak CountLoader gibi zararlıların yayılmasını engelleyin.
  • Microsoft Defender hariç tutma listelerini düzenli olarak kontrol edin ve şüpheli değişiklikleri inceleyin.
  • Kullanıcı hesaplarında çok faktörlü kimlik doğrulama (MFA) uygulayarak uzaktan erişim risklerini azaltın.
  • Telegram ve benzeri platformlarda zararlı yazılım destek kanallarını izleyerek tehdit istihbaratı sağlayın.
  • Olay müdahale süreçlerinde kripto para kliperi ve madencisi gibi zararlılara karşı clipboard ve işlem izleme loglarını analiz edin.
, , , , , ,