WeedHack adlı zararlı yazılım, sahte Minecraft modları ve istemcileri aracılığıyla 116.000’den fazla sisteme bulaştı. Saldırganlar aylık 5 dolara kurbanların webcam’lerine erişim sağlayabiliyor.
WeedHack adlı zararlı yazılım kampanyası, Ocak 2026’dan bu yana sahte Minecraft modlarına gizlenerek 116.464’ten fazla sisteme bulaştı ve her gün ortalama 2.000 ila 3.000 yeni kurban eklemeye devam ediyor. McAfee Labs araştırmacıları tarafından tespit edilen bu operasyon, saldırganların kurbanların webcam’lerine canlı erişim sağlamasından tuş kaydedicilere kadar geniş bir yelpazede tehdit oluşturuyor.
WeedHack Nedir ve Neden Bu Kadar Tehlikeli?
WeedHack, “Malware-as-a-Service” (Hizmet Olarak Zararlı Yazılım) modeliyle çalışan bir siber suç platformu. Yani profesyonel bir yazılım şirketi gibi abonelik sistemiyle hacking araçları satıyor. Geleneksel saldırı araçları aylık yüzlerce dolar tutarken, WeedHack herhangi bir Discord hesabı olan kişiye ücretsiz erişim sunuyor. Aylık sadece 5 dolarlık premium abonelik ise webcam izleme ve uzaktan tam kontrol gibi gelişmiş özellikler ekliyor. Ömür boyu erişim için tek seferlik ücret ise 24,99 dolar.
Bu düşük giriş bariyeri, WeedHack’i diğer zararlı yazılımlardan çok daha tehlikeli kılıyor. McAfee araştırmacıları, platformun Telegram kanalında 850’den fazla üye tespit etti ve bu üyelerin büyük kısmının ergen veya genç yetişkin olduğunu belirledi.
Sahte Modlar Nasıl Yayılıyor?
WeedHack iki temel yöntemle kurbanlarına ulaşıyor: sahte YouTube videoları ve SEO zehirlemesi.
YouTube üzerinden dağıtım: Saldırganlar, Minecraft modlarını ve istemcilerini tanıtan ikna edici videolar oluşturuyor. Bu videoların bir kısmı seslendirme içeriyor ve profesyonel bir şekilde hazırlanmış. McAfee’nin tespit ettiği bir video, işaretlenmeden önce 7.500’den fazla izlenmeye ulaşmıştı. Zararlı indirme bağlantıları video açıklamalarına ve yorum bölümlerine yerleştiriliyor.
SEO zehirlemesi: Saldırganlar, resmi web sitesi olmayan popüler Minecraft istemcilerinin adlarıyla sahte siteler oluşturuyor. Meteor Client, Wurst Client, LiquidBounce, Impact Client ve Radium Client gibi bilinen modların arama sonuçlarında üst sıralara çıkmak için optimize edilmiş bu sahte siteler, güvenilir görünmek adına sahte güvenlik uyarıları, Discord bağlantıları ve GitHub referansları içeriyor.
Bulaştıktan Sonra Ne Oluyor?
Enfeksiyon dört aşamada sessizce gerçekleşiyor:
- 1. Aşama: Zararlı .JAR dosyası sessizce çalışıyor ve Ethereum blokzinciri üzerindeki “EtherHiding” tekniğiyle komuta sunucusunun adresini buluyor. Bu yöntem, saldırı altyapısının kapatılmasını son derece zorlaştırıyor.
- 2. Aşama: Windows Defender korumaları devre dışı bırakılıyor, sistemle ilgili detaylı bilgiler (işlemci, ekran kartı, RAM, işletim sistemi) toplanıyor ve ekran görüntüsü alınıyor. Discord tokenları, tarayıcı şifreleri ve çerezler çalınıyor.
- 3. Aşama: Zararlı yazılım sisteme kalıcı olarak yerleşiyor. Her oturum açılışında otomatik olarak yeniden başlayan gizli zamanlanmış görevler oluşturuluyor.
- 4. Aşama: Premium kullanıcılar için saldırgan, kurbanın bilgisayarına gerçek zamanlı olarak bağlanabiliyor. Webcam erişimi, ekran paylaşımı, klavye ve fare kontrolü, tuş kaydedici ve dosya yönetimi dahil tam uzaktan kontrol sağlanıyor.
Tam Olarak Hangi Veriler Çalınıyor?
Ücretsiz sürümde bile çalınan veriler oldukça kapsamlı:
- Minecraft oturum kimlikleri (hesap ele geçirme için)
- 36 farklı tarayıcıdan kaydedilmiş şifreler ve çerezler
- Discord, Steam ve Telegram kimlik bilgileri
- 56 tarayıcı tabanlı ve 12 masaüstü kripto cüzdan verisi
- 24 önceden tanımlanmış anahtar kelimeyle dosya taraması
- Ekran görüntüleri ve sistem bilgileri
Premium sürüm ise bunlara ek olarak canlı webcam erişimi, klavye ve fare kontrolüyle ekran paylaşımı, tuş kaydedici, uzaktan komut satırı erişimi ve dosya yükleme/indirme yetenekleri sunuyor.
En Çok Hangi Ülkeler Etkileniyor?
McAfee telemetri verilerine göre en fazla etkilenen ülke ABD, ardından Almanya, Hindistan, Birleşik Krallık, İtalya, Vietnam, Kanada, Norveç, İsveç, Finlandiya ve İspanya geliyor. Kampanya toplam 240’tan fazla dağıtım URL’si ve 3.820’den fazla benzersiz zararlı JAR dosyası kullanıyor. Minecraft 1.21.0 ile 1.21.11 sürümlerini hedef alan özel payload oluşturma aracı, saldırganların meşru modlara zararlı yazılım enjekte etmesine olanak tanıyor.
Siber Zorbalık İçin Kullanılıyor
WeedHack’in en rahatsız edici yönlerinden biri kullanım amacı. McAfee araştırmacıları, Telegram kanalındaki konuşmaları izlerken saldırganların çoğunun ergen ve genç yetişkinlerden oluştuğunu tespit etti. Bu kişiler WeedHack’i finansal hırsızlıktan çok siber zorbalık aracı olarak kullanıyordu.
Araştırmacılar, saldırganların kurbanların webcam’lerinden izinsiz kayıt yapıp bu görüntüleri Telegram kanalında “ganimet” olarak paylaştığını gözlemledi. Bazıları ise çaldıkları IP adresleri ve sistem erişimiyle kurbanlarını tehdit ediyordu. McAfee’nin yayın tarihinde Telegram kanalı kapatılmış olsa da izleme çalışmaları devam ediyor.
Kendini Nasıl Korursun?
Minecraft modlarının dünyası devasa ve büyük ölçüde denetimsiz. Güvenliğiniz için şu önlemleri almanız kritik:
- Yalnızca güvenilir kaynaklardan indirin: CurseForge, Modrinth veya modun doğrulanmış GitHub sayfası dışındaki kaynaklara güvenmeyin.
- YouTube bağlantılarına dikkat edin: Yeni yüklenmiş, az bilinen kanallardan gelen mod tanıtım videolarındaki indirme bağlantılarına tıklamayın.
- Antivirüsünüzü asla kapatmayın: Meşru modlar asla antivirüs yazılımını devre dışı bırakmanızı istemez. Bu talep tek başına büyük bir kırmızı bayraktır.
- JAR dosyalarını sorgulamadan çalıştırmayın: Dosya barındırma sitelerinden indirilen .jar dosyalarına karşı her zaman temkinli olun.
- İki faktörlü doğrulamayı etkinleştirin: Minecraft, Discord, Steam ve diğer tüm hesaplarınızda 2FA kullanın.
- Şifrelerinizi düzenli olarak güncelleyin: Özellikle farklı platformlarda aynı şifreyi kullanmaktan kaçının.
Enfekte Olduğunuzu Düşünüyorsanız Ne Yapmalısınız?
Sisteminizin WeedHack tarafından enfekte edildiğinden şüpheleniyorsanız hemen harekete geçmeniz gerekiyor. Güvenilir bir antivirüs yazılımıyla tam sistem taraması yapın. GitHub üzerinde yayınlanan WeedHack Remover gibi özel temizleme araçlarını değerlendirin. Tüm tarayıcı şifrelerinizi değiştirin, Discord tokenınızı sıfırlamak için Discord şifrenizi güncelleyin ve kripto cüzdanlarınızı yetkisiz işlemler açısından kontrol edin. Minecraft şifrenizi de mutlaka değiştirin.
Eğer bir ergen veya genç olarak birisinin bilgisayarınızı hacklediğini, webcam kaydınızın olduğunu veya IP adresinizi bildiğini iddia eden mesajlar alıyorsanız, saldırganın talimatlarını takip etmeyin. Güvendiğiniz bir yetişkine hemen durumu anlatın ve yetkili makamlara başvurun.
Oyuncuların Merak Ettiği Sorular
WeedHack sadece Windows kullanıcılarını mı etkiliyor?
McAfee’nin raporuna göre WeedHack öncelikle Windows sistemlerini hedef alıyor. Zararlı yazılım Windows Defender’ı devre dışı bırakan ve Windows kayıt defterinde kalıcılık sağlayan bileşenler kullanıyor. Mac veya Linux kullanıcılarına yönelik doğrudan bir tehdit şu an için raporlanmadı, ancak mod indirirken tüm platformlarda dikkatli olmak gerekiyor.
CurseForge ve Modrinth güvenli mi?
Her iki platform da zararlı yazılım taraması yapıyor ve topluluk tarafından genel olarak güvenli kabul ediliyor. WeedHack’in dağıtım yöntemi bu platformlar üzerinden değil, sahte web siteleri ve YouTube bağlantıları üzerinden gerçekleşiyor. Yine de 2023’teki Fractureiser olayında CurseForge’un etkilendiği unutulmamalı; bu nedenle her zaman kaynak doğrulaması yapılmalı.
Minecraft’ın Bedrock sürümü de risk altında mı?
WeedHack özellikle Java Edition modlarını hedef alıyor. Bedrock Edition’ın yerleşik Minecraft Marketplace’i, içeriklerin incelendiği daha kontrollü bir ortam sunuyor. Java Edition’ın üçüncü taraf mod ekosistemi ise doğası gereği daha açık ve bu nedenle daha savunmasız.
Minecraft hesabım çalınırsa ne yapmalıyım?
Hemen Minecraft/Microsoft hesap şifrenizi değiştirin, iki faktörlü doğrulamayı etkinleştirin ve hesabınızdaki şüpheli aktiviteleri kontrol edin. Aynı şifreyi kullandığınız tüm hesaplarda da şifre değişikliği yapın. Dijital oyun hesaplarınızın güvenliği konusunda bilinçli olmak, GamerMarkt’ta Steam hesapları gibi güvenilir platformlardan alışveriş yaparken de kritik önem taşıyor.
