Malware Serang Gamer Minecraft, 86 Ribu Perangkat Terinfeksi

Ancaman keamanan siber terus berkembang dengan metode yang semakin canggih dan sulit dideteksi. Terbaru, para peneliti keamanan menemukan sejumlah kampanye malware berskala besar yang menargetkan pengguna internet melalui berbagai cara, mulai dari modifikasi game Minecraft, perangkat lunak bajakan, hingga situs streaming film ilegal.

Dua kampanye yang menjadi sorotan adalah malware-as-a-service (MaaS) bernama Weedhack yang menyasar komunitas Minecraft serta malware CountLoader yang dilaporkan telah menginfeksi sekitar 86.000 perangkat di berbagai negara. Di saat yang sama, peneliti juga mengungkap operasi penyebaran penambang mata uang kripto yang memanfaatkan situs bajakan sebagai media distribusi.

Temuan tersebut menunjukkan bahwa aktivitas siber berbahaya kini tidak lagi hanya menargetkan perusahaan atau organisasi besar, tetapi juga pengguna rumahan, pemain game, hingga pencari hiburan daring.

Weedhack Menyamar Sebagai Mod Minecraft

Peneliti dari McAfee Labs mengungkap adanya kampanye malware baru yang diberi nama Weedhack. Malware ini dirancang khusus untuk menyasar para pemain Minecraft dengan menyamar sebagai client dan mod Minecraft yang tampak sah.

Menurut laporan penelitian, aktivitas Weedhack telah berlangsung sejak Januari 2026. Selama periode tersebut, para peneliti berhasil mengidentifikasi sedikitnya 3.820 file JAR berbahaya yang berbeda serta lebih dari 240 alamat URL yang digunakan untuk menyebarkan malware kepada calon korban.

Yang membuat kampanye ini berbahaya adalah cara distribusinya yang memanfaatkan popularitas Minecraft di kalangan pengguna muda. Para pelaku menggunakan teknik SEO poisoning, yaitu manipulasi hasil pencarian internet agar situs berbahaya mereka muncul pada posisi yang mudah ditemukan pengguna.

Selain itu, pelaku juga memanfaatkan YouTube sebagai sarana promosi. Mereka membuat video yang menampilkan mod dan client Minecraft menarik, lengkap dengan tautan unduhan yang sebenarnya mengarah ke malware.

Peneliti menemukan sedikitnya dua kanal YouTube yang aktif mempromosikan perangkat lunak berbahaya tersebut kepada para pemain Minecraft.

Memiliki Dashboard Layaknya Perusahaan Profesional

Weedhack tidak hanya sekadar malware biasa. Para peneliti menemukan bahwa layanan ini didukung oleh dashboard yang dirancang secara profesional dan menyediakan berbagai fitur bagi pelaku kejahatan siber.

Melalui dashboard tersebut, pelanggan dapat memantau perangkat yang telah berhasil diretas, melihat data yang dicuri, serta mengelola korban secara jarak jauh.

Lebih mengkhawatirkan lagi, Weedhack memungkinkan pengguna membuat payload khusus yang kompatibel dengan Minecraft versi 1.21.0 hingga 1.21.11. Malware bahkan dapat disisipkan ke dalam mod Minecraft yang sebenarnya legal dan aman, sehingga semakin sulit dibedakan oleh pengguna biasa.

Model layanan seperti ini menunjukkan bagaimana ekosistem kejahatan siber kini semakin menyerupai bisnis digital profesional yang menawarkan produk, layanan pelanggan, hingga pembaruan berkala.

Cara Kerja Serangan Weedhack

Rangkaian serangan Weedhack dimulai ketika korban mengunduh file berbahaya bernama DonutDupe.jar dari situs yang telah disiapkan pelaku.

Setelah dijalankan, malware memanfaatkan teknik EtherHiding untuk menyembunyikan alamat server command-and-control (C2). Teknik ini menggunakan blockchain Ethereum sebagai media penyimpanan informasi sehingga komunikasi malware menjadi lebih sulit dilacak.

Tahap berikutnya melibatkan pengunduhan payload tambahan bernama Elevator.jar. Komponen ini memiliki beberapa fungsi penting, termasuk mengumpulkan informasi sistem korban, menambahkan pengecualian pada Microsoft Defender, dan mengunduh komponen malware lainnya.

Kemudian malware akan mengaktifkan SecurityManager.jar yang bertugas mempertahankan keberadaan malware di dalam sistem. Setelah itu, komponen terakhir bernama Component.jar dipasang untuk memberikan akses jarak jauh penuh kepada operator malware.

Dengan akses tersebut, pelaku dapat mengendalikan perangkat korban dari mana saja selama perangkat masih terhubung ke internet.

Tersedia Versi Gratis dan Berbayar

Salah satu alasan Weedhack berkembang dengan cepat adalah karena model bisnis yang digunakan para pelaku. Mereka menyediakan versi gratis yang sudah memiliki kemampuan pencurian data yang sangat luas. Paket ini mampu mencuri ID sesi Minecraft, mengambil tangkapan layar, mengumpulkan informasi sistem, hingga mencuri cookie dan kata sandi dari puluhan browser populer.

Malware tersebut juga dapat mengakses data dari puluhan dompet kripto berbasis browser maupun aplikasi desktop. Selain itu, akun Discord, Steam, dan Telegram milik korban juga menjadi sasaran pencurian.

Bagi pengguna yang menginginkan fitur lebih lengkap, tersedia paket premium dengan biaya mulai dari 4,99 dolar AS per bulan atau 24,99 dolar AS untuk lisensi seumur hidup.

Versi premium menawarkan kemampuan yang jauh lebih invasif, termasuk akses webcam, keylogger untuk merekam setiap tombol yang ditekan korban, berbagi layar, kontrol mouse dan keyboard dari jarak jauh, hingga kemampuan mengunggah dan mengunduh file dari perangkat korban.

Dimanfaatkan untuk Perundungan Siber

Temuan menarik lainnya adalah penggunaan Weedhack yang tidak hanya berfokus pada pencurian data. McAfee menemukan bahwa sejumlah pengguna malware tersebut memanfaatkannya untuk melakukan cyberbullying atau perundungan daring.

Banyak pelanggan Weedhack diduga berasal dari kalangan remaja dan dewasa muda yang memanfaatkan fitur akses jarak jauh untuk mengintimidasi korban. Mereka dapat mengawasi aktivitas korban, mengendalikan perangkat secara diam-diam, bahkan merekam korban melalui webcam.

Beberapa rekaman tersebut dilaporkan dibagikan di kanal Telegram sebagai bentuk pamer atau "trofi" keberhasilan mereka dalam meretas korban.

Fenomena ini menunjukkan bagaimana malware modern tidak hanya menjadi alat kejahatan finansial, tetapi juga digunakan sebagai sarana pelecehan dan intimidasi digital.

CountLoader Infeksi 86 Ribu Perangkat

Selain Weedhack, McAfee juga mengungkap kampanye malware lain yang skalanya jauh lebih besar, yaitu CountLoader. Malware berbasis JavaScript ini diperkirakan telah menginfeksi sekitar 86.000 perangkat unik di berbagai negara.

CountLoader biasanya disebarkan melalui situs penyedia perangkat lunak bajakan atau software crack yang banyak dicari pengguna yang ingin menghindari biaya lisensi resmi.

Setelah berhasil masuk ke sistem korban, CountLoader dapat mengunduh berbagai jenis malware tambahan, termasuk alat peretasan Cobalt Strike, AdaptixC2, PureHVNC RAT, Amatera Stealer, dan PureMiner.

Dari seluruh kasus yang ditemukan, sekitar 9.000 infeksi diketahui berasal dari penyebaran melalui USB drive dan media penyimpanan portabel lainnya. India tercatat sebagai negara dengan jumlah infeksi tertinggi, disusul Indonesia, Amerika Serikat, dan sejumlah negara Asia Tenggara lainnya.

Menyebar Lewat File EXE dan USB

Rantai infeksi CountLoader dimulai ketika korban menjalankan file EXE yang tampak normal.

File tersebut kemudian mengeksekusi perintah PowerShell yang mengunduh dan menjalankan CountLoader dalam bentuk JavaScript yang telah disamarkan. Malware dijalankan menggunakan program bawaan Windows bernama mshta.exe agar terlihat sebagai aktivitas yang sah.

Setelah aktif, CountLoader akan membangun mekanisme persistensi agar tetap berjalan meskipun komputer direstart. Malware juga akan berkomunikasi dengan server pengendali dan mencoba menyebarkan dirinya melalui perangkat USB yang terhubung.

Pada kampanye terbaru, malware ini diketahui mengunduh cryptocurrency clipper, yaitu malware yang mampu memanipulasi isi clipboard komputer korban.

Saat korban menyalin alamat dompet kripto untuk melakukan transaksi, malware secara otomatis mengganti alamat tersebut dengan alamat milik pelaku. Akibatnya, dana yang dikirim korban justru masuk ke rekening kripto penjahat tanpa disadari.

Situs Bajakan Jadi Jalur Penyebaran Penambang Kripto

Dalam temuan terpisah, peneliti Kaspersky mengungkap kampanye yang telah berlangsung selama beberapa tahun dan memanfaatkan situs streaming film ilegal sebagai media distribusi malware.

Pelaku menyebarkan pembaruan palsu untuk plugin pemutar video yang tampak meyakinkan. Ketika pengguna mengunduh dan memasang pembaruan tersebut, mereka sebenarnya memasang malware penambang mata uang kripto.

File ZIP yang diunduh korban memanfaatkan teknik DLL side-loading untuk menjalankan versi modifikasi dari SilentCryptoMiner. Metode ini memungkinkan kode berbahaya dijalankan melalui aplikasi yang sah sehingga lebih sulit terdeteksi oleh pengguna maupun perangkat keamanan.

Mampu Mengambil Alih Sumber Daya Komputer

Malware penambang kripto tersebut memiliki berbagai kemampuan yang dirancang untuk memaksimalkan keuntungan pelaku. Program dapat menonaktifkan fitur keamanan tertentu, mengubah pengaturan sistem, mencegah komputer masuk ke mode tidur, serta memastikan proses penambangan berjalan terus-menerus.

Selain itu, malware juga dilengkapi kemampuan akses jarak jauh yang memungkinkan operator menjalankan perintah tertentu pada perangkat korban.

Tak hanya memanfaatkan prosesor (CPU), malware ini juga dapat menggunakan kartu grafis (GPU) untuk menambang mata uang kripto secara lebih efisien.

Akibatnya, komputer korban mengalami penurunan performa, konsumsi listrik meningkat, suhu perangkat lebih tinggi, dan umur perangkat keras berpotensi berkurang.

Waspada terhadap Konten Gratis yang Mencurigakan

Rangkaian temuan dari McAfee dan Kaspersky memperlihatkan bahwa pelaku kejahatan siber terus mencari cara baru untuk menjangkau korban melalui platform yang populer dan sering digunakan masyarakat.

Mulai dari mod Minecraft, software bajakan, hingga situs streaming ilegal, semuanya dapat menjadi pintu masuk bagi malware yang berbahaya.

Karena itu, pengguna disarankan untuk hanya mengunduh perangkat lunak dari sumber resmi, menghindari penggunaan konten bajakan, serta berhati-hati terhadap tautan yang dibagikan melalui media sosial maupun video YouTube.

Di era digital saat ini, satu kali klik pada file atau tautan yang salah dapat berujung pada pencurian data pribadi, kehilangan aset digital, hingga pengambilalihan perangkat secara penuh oleh pelaku kejahatan siber.