Minecraft恶意软件加载器使用RSA签名的智能合约更新来实现持久的C2通信

admin 2026-06-30 08:17:31 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 该文档披露了一种名为LoaderClient的Minecraft恶意软件加载器,其通过伪装成Fabric模组传播,利用YouTube视频和虚假门户网站进行分发。该恶意软件窃取玩家会话令牌并采用以太坊智能合约实现持久化C2通信,通过RSA签名验证URL确保通信安全性。截至2026年6月,该活动已感染超11.6万台设备,日均新增感染2000-3000例,反映出低成本恶意软件正被滥用于个人纠纷的新趋势。 综合评分: 85 文章分类: 恶意软件,区块链安全,威胁情报,安全意识,WEB安全


cover_image

Minecraft恶意软件加载器使用RSA签名的智能合约更新来实现持久的C2通信

原创

网络安全9527 网络安全9527

安全圈的那点事儿

2026年6月26日 19:14 北京

在小说阅读器读本章

去阅读

一种新型且高度复杂的恶意软件加载器被发现隐藏在一个看似无害的 Minecraft 模组中。

研究人员发现了一项结合区块链技术和社会工程的攻击活动,旨在窃取玩家凭证并植入其他恶意载荷。

自 2026 年 1 月该活动开始以来,损失已经相当严重,已有超过 116,000 个独立系统遭到破坏。

这款名为 LoaderClient 的恶意软件伪装成 Minecraft Fabric 模组进行传播。一旦安装,它会立即窃取玩家的会话数据,包括显示名称、账户 UUID 和有效的 Microsoft OAuth 访问令牌。

被盗的令牌尤其危险,因为它无需密码或绕过双因素身份验证即可接管受害者的账户。

DarkAtlas 的分析师在一份与网络安全新闻 (CSN) 分享的报告中识别并详细描述了该恶意软件。

他们的调查结果显示,LoaderClient 是名为 WeedHack 的更广泛攻击活动的第一阶段有效载荷,WeedHack 是一个恶意软件即服务平台,可以免费使用,也可以每月支付 5 美元使用。

截至 2026 年 6 月,该行动已生成超过 3,820 个独特的恶意文件,并且每天记录 2,000 到 3,000 例新的感染。

这种威胁最令人担忧之处在于它的传播方式。操作者会上传精心制作的YouTube视频,展示热门的MOD,并在视频描述中隐藏恶意下载链接。

他们还运营虚假门户网站,冒充合法的模组网站,并通过搜索引擎优化(SEO)来获取高排名。由于玩家习惯性地将杀毒软件的警告视为误报而置之不理,许多人因此关闭了杀毒软件的防御功能,在不知情的情况下运行了恶意软件。

该活动在 Telegram 上发展了一个拥有 850 多名注册用户的社区,其中许多是青少年,他们利用这些工具进行同伴骚扰、访问网络摄像头和劫持社交媒体。

这种转变反映出低成本恶意软件越来越多地被用于个人纠纷,而不仅仅是金融犯罪。

Minecraft恶意软件加载器使用RSA签名的智能合约更新

LoaderClient 的独特之处在于其命令与控制架构。该恶意软件并非将服务器地址嵌入代码中,而是通过一种名为 EtherHiding 的技术查询以太坊智能合约来获取其活动的 C2 URL。

这使得通过域名查封或托管服务提供商的行动来破坏基础设施几乎不可能。

智能合约会返回一个带有 RSA 数字签名的 URL。恶意软件随后会使用该签名与硬编码的 2048 位 RSA 公钥进行比对,验证通过后才会信任该地址。

只有操作员的私钥才能生成有效的签名,因此即使篡改合约也会被拒绝,使得黑洞攻击毫无用处。

C2 URL 验证通过后,LoaderClient 会将第二阶段有效载荷完全下载到内存中,而不会将任何文件写入磁盘。该有效载荷使用 JNIC v3.7.0 编译,并将所有逻辑隐藏在加密的 Windows 原生 DLL 中。

它通过同一个以太坊合约独立地重新解析C2地址,并使用DNS over HTTPS来规避企业网络监控。以太坊合约地址是此次攻击活动最持久的标识,永久保存在区块链上。


免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:安全圈的那点事儿 网络安全9527 网络安全9527《Minecraft恶意软件加载器使用RSA签名的智能合约更新来实现持久的C2通信》

评论:0   参与:  0