Klotz für Klotz zur Katastrophe - Über 1.500 Minecraft-Spieler von fiesen Fake-Mods infiziert
News
Über 1.500 Minecraft-Spieler wurden durch gefälschte Mods auf GitHub mit Malware infiziert - die Schadsoftware späht Passwörter, Wallets und mehr aus.
Minecraft -Spieler aufgepasst: Wer zuletzt voller Vorfreude neue Mods und Updates installiert hat, sollte besser noch mal den Virenscanner drüberjagen - falls der überhaupt was merkt. Denn wie Sicherheitsforscher von Check Point berichten, wurden über 1.500 User durch Fake-Mods auf GitHub mit fieser Malware infiziert.
Tarnung: Mod, Wirkung: Datendiebstahl
Die Angreifer machen's clever: Sie ködern Spieler mit angeblich hilfreichen Tools wie Oringo oder Taunahi, die als .jar-Dateien daherkommen und nur mit installiertem Minecraft funktionieren - also perfekt auf die Zielgruppe zugeschnitten. Beim Start laden sie unbemerkt eine weitere Java-Payload nach, die dann das eigentliche Biest auf den PC bringt - einen .NET-basierten Datendieb.
GitHub als Malware-Spielplatz
Die Kampagne mit dem charmanten Namen Stargazers Ghost Network setzt auf Masse statt Klasse: Rund 500 GitHub-Repositories wurden genutzt, viele davon einfach nur Klone voneinander. Mithilfe von etwa 70 Fake-Accounts sammelte man über 700 GitHub-Stars - für den Anschein von Seriosität. Wer da mal schnell eine neue Mod sucht, fällt leicht auf die Masche rein. Besonders perfide: Die infizierten Dateien starten direkt beim Minecraft-Start, sobald sie im Mod-Ordner liegen.
So läuft die Infektion ab
- Initialer Loader: .jar-Datei wird gestartet.
- Zweite Java-Payload: Holt über Pastebin die IP-Adresse des Kontrollservers.
- Endgültiger Schaden: Der .NET-Stealer wird installiert und legt los.
Die Schadsoftware fischt dann munter nach allem, was nicht niet- und nagelfest ist: Browser-Passwörter, Discord-Token, Telegram-Dateien, Steam-Accounts, Wallet-Daten, Screenshots - ja, selbst die Zwischenablage ist nicht sicher. Der ganze Datenhaufen landet schließlich über Discord Webhooks beim Angreifer.
Spurensuche im Osten
Die Spuren führen laut Check Point wohl nach Osteuropa. Der Schadcode enthält russischsprachige Kommentare, und auch die Zeitstempel der Aktivitäten sprechen für eine Zeitzone rund um UTC+3. Wer genau dahintersteckt, ist bislang nicht klar - aber der Schaden ist real. Und die Zahl der betroffenen Geräte könnte noch weiter steigen.
Modden mit Köpfchen
Auch scheinbar harmlose Minecraft-Mods können zur digitalen Zeitbombe werden. Besonders bei Open-Source-Plattformen wie GitHub heißt es doppelt aufpassen. Unser Tipp: Mods nur von bekannten Quellen laden, die Community-Bewertungen checken - und im Zweifel lieber doch mal Vanilla spielen, als sich die Tastatur klauen zu lassen.
