Morten Lyhne Petersen
Sverige finns bland de hårdast drabbade länderna i den pågående attackvågen mot Minecraft-spelare.
Mer än 116 000 datorer har infekterats sedan januari 2026 av skadlig kod som sprids via falska Minecraft-mods och fuskklienter. Mellan 2 000 och 3 000 nya datorer kapas varje dygn, enligt säkerhetsforskare på McAfee Labs.
Sverige ligger bland de tio länder där spridningen är som störst, tillsammans med Norge, Finland, USA, Tyskland och Storbritannien. Det innebär att tusentals svenska barn och tonåringar med stor sannolikhet har en infekterad dator i hemmet just nu.
Så lockas barnen in i fällan
Skadeprogrammet kallas WeedHack och säljs som en så kallad malware-as-a-service, det vill säga en färdig hackningsplattform som vem som helst kan hyra. Premiumtillgång kostar 4,99 dollar i månaden eller 24,99 dollar för livstid, och plattformens Telegram-kanal har över 850 medlemmar. Många av kunderna är själva tonåringar.
Spridningen sker främst via YouTube-videor som lovar gratis fuskmods, och via falska nedladdningssidor som dyker upp högt i Googles sökresultat. Forskarna har identifierat 3 820 unika skadliga JAR-filer och över 240 distributionssidor. Måltavlan är spelare som kör Minecraft-versionerna 1.21.0 till 1.21.11.
Vissa av YouTube-videorna är så pass välproducerade att de har en berättarröst och har samlat över 7 500 visningar. En typisk fälla är att videon uppmanar tittaren att tillfälligt stänga av antivirusprogrammet innan installation, något som ska väcka omedelbar misstanke.
Tecken på att datorn är infekterad
På infekterade Windows-datorer placerar WeedHack sina filer i den dolda mappen %APPDATA%\Microsoft\SecurityUpdates. Där döljer sig bland annat filerna SecurityInfo.json, Updater.vbs, en eller flera component-*.jar-filer och en security.lock. Programmet skapar också en schemalagd Windows-uppgift som heter JavaSecurityUpdater, som ser till att skadeprogrammet startar igen om det raderas.
Andra varningstecken är att webbkameran plötsligt aktiveras utan anledning, att Minecraft-, Discord- eller Steam-kontot blir låst, eller att kryptoplånböcker töms. WeedHack stjäl lösenord från 36 olika webbläsare och 12 stationära kryptoplånböcker, utöver session-id för själva Minecraft-kontot.
Det allvarligaste varningstecknet är dock om barnet plötsligt mår psykiskt dåligt utan tydlig förklaring. McAfee-forskarna noterar att verktyget i flera fall används till regelrätt nätmobbning, där köparna ”utnyttjar fjärråtkomsten för att hota, trakassera och övervaka sina offer”.
Så rensar du datorn och återställer kontona
Koppla först bort datorn från internet. Öppna sedan Schemaläggaren i Windows och ta bort uppgiften JavaSecurityUpdater, och radera därefter hela mappen %APPDATA%\Microsoft\SecurityUpdates samt eventuella lib*.tmp-filer i %TEMP%. Kontrollera även Microsoft Defender, eftersom WeedHack rutinmässigt lägger till egna undantag för att slippa skannas.
Återställ därefter alla lösenord från en ren enhet, börja med Microsoft-, Minecraft-, Discord-, Steam- och eventuella kryptokonton. Aktivera tvåfaktorsinloggning där det går.
Det säkraste skyddet framåt är att enbart hämta tillägg via Minecraft Marketplace eller andra officiella kanaler. WeedHack-vågen är också en bra anledning till ett samtal vid köksbordet om varför man aldrig stänger av antivirusprogrammet på inrådan från en YouTube-video, oavsett hur professionell den ser ut.
