Fake-Mods, echte Passwörter weg. Seit Januar 2026 hat das Schadsoftware-Paket WeedHack laut McAfee weltweit über 116.000 Systeme infiziert — mit täglich 2.000 bis 3.000 Neuinfektionen. Verbreitet wird der Schädling über präparierte YouTube-Videos und SEO-vergiftete Fake-Websites. Deutschland gehört neben den USA, Indien und Großbritannien zu den vier am stärksten betroffenen Ländern.
YouTube und SEO als Verteilungsweg
Der Angriff folgt einer simplen, aber wirksamen Logik: Spieler suchen nach bekannten inoffiziellen Minecraft-Clients — Meteor, Radium oder Wurst — und landen über manipulierte Suchergebnisse oder YouTube-Beschreibungen auf gefälschten Download-Seiten. Dort warten bösartige JAR-Dateien, die sich als legitime Mods ausgeben. Laut McAfee sind über 240 Verbreitungs-URLs aktiv, mit 3.820 erfassten Schadprogramm-Varianten. Betroffen sind Spieler mit Minecraft-Version 1.21.0 bis 1.21.10.
Gratis Credential-Diebstahl — Premium-Tier mit Webcam-Zugriff
WeedHack arbeitet nach dem Malware-as-a-Service-Prinzip: Die kostenlose Variante liefert dem Angreifer Minecraft-Session-IDs, Browser-Cookies und gespeicherte Passwörter aus 36 verschiedenen Browsern, dazu Krypto-Wallet-Daten sowie Zugangsdaten von Discord, Steam und Telegram. Screenshots werden automatisch mitgemacht.
Wer Gaming-PC und Homeoffice auf derselben Kiste betreibt — was bei vielen Mitarbeitern im KMU-Alltag die Realität ist —, hat ein konkretes Problem: Alle gespeicherten Browser-Zugänge, vom Firmen-VPN bis zum E-Mail-Portal, landen im selben Credential-Dump wie das Minecraft-Passwort. Das ist kein theoretisches Szenario; nach einem Incident lässt sich selten nachvollziehen, an welchem Rechner die Kette angefangen hat.
Für 5 Dollar monatlich oder 24,99 Dollar einmalig gibt es die Premium-Variante mit Remote-Shell-Zugriff, Keylogger-Funktion, Webcam-Zugang und vollständiger Remote-Steuerung. Die Betreiber kommunizieren über einen Telegram-Kanal mit über 800 Mitgliedern — laut McAfee ein erheblicher Teil davon Teenager oder junge Erwachsene.
Was die Kampagne bremst — und warum bisher wenig
Die Schutzempfehlungen sind die üblichen: Mods ausschließlich über den Minecraft Marketplace oder bekannte, verifizierte Quellen beziehen, JAR-Dateien von fremden Websites nicht ausführen. Wer bereits heruntergeladen hat: Passwörter ändern, Browser-Sessions beenden, Banking-Transaktionen prüfen.
Reaktionen von YouTube oder Mojang auf die massenhafte Verbreitung über ihre Plattformen dokumentiert der McAfee-Bericht nicht. Das ist eigentlich das beunruhigende Signal: Nicht das Schadprogramm selbst — technisch ist WeedHack keine Neuentwicklung — sondern die Tatsache, dass ein Toolkit mit täglich tausend Neuinfektionen seit fast einem halben Jahr ungestört läuft. Solange die Plattformen keine verlässlichen Erkennungsmechanismen für solche JAR-Verteilungswege aufbauen, wird sich die Kurve nicht abflachen.
