Hacker luden Malware über eine beliebte Game-Mod auf Steam hoch

Downfall, eine beliebte Mod für Slay The Spire, wurde von Hackern gekapert. Der Entwickler der Mod hat einige Details über den Vorfall veröffentlicht.

Obwohl es nicht das erste Mal ist, dass eine Mod auf Steam Workshop infiziert wurde, ist dies vielleicht der bemerkenswerteste Sicherheitsvorfall im Zusammenhang mit Mods, die auf der Plattform verfügbar sind. Es ist ziemlich empörend, dass Hacker eine kostenlose Mod ins Visier genommen haben, um Malware zu verbreiten. Natürlich sind einige Nutzer besorgt, ob solche Probleme auch bei anderen Spielen auftreten könnten. Einige fragten sich, wie dies überhaupt möglich war und warum Valve kein Sicherheitssystem eingerichtet hat, um solche Risiken zu verhindern.

Das Hauptproblem bei Software und Spielen, die über Steam vertrieben werden, sind die automatischen Aktualisierungen. Während die automatische Installation von Updates in der Regel sinnvoll ist, weil man so schneller Bugfixes erhält, können diese manchmal auch ärgerlich sein, wenn sie weitere Bugs oder in diesem Fall sogar ein Sicherheitsrisiko mit sich bringen. Leider gibt es keine Option, um automatische Updates auf Steam zu deaktivieren. Sobald also ein Spiel oder eine Mod aktualisiert wird, wird es automatisch auf deinen PC heruntergeladen. Und ohne die neueste Aktualisierung zu installieren, können Sie das Spiel nicht starten.

Um auf die Mod zurückzukommen, die gekapert wurde, scheint es, dass nicht alle Nutzer der Downfall-Mod von dem Angriff betroffen waren. Die Ankündigung des Mod-Entwicklers enthält einige Details darüber, wie die Nutzer von der Malware betroffen waren.

Table 9 Studio, die Entwickler der Downfall-Mod, geben an, dass sie am 25. Dezember gegen 13:20 Uhr (18:20 UTC+0) einen Sicherheitsverstoß festgestellt haben. Die Hacker hatten die Steam- und Discount-Konten der Entwickler gekapert. Obwohl es den Spieleentwicklern gelang, ihr Steam-Konto am späten Abend wiederherzustellen, war der Schaden bereits angerichtet (um ca. 1:30 PM bis 2:30 PM Eastern am 25. Dezember). Die Angreifer luden Dateien, die Malware enthielten, in die Steam-Bibliothek der Entwickler hoch. Nach Angaben der Entwickler gelang es ihnen, den Einbruch einzudämmen, bevor sie die Konten wiederherstellen konnten.

Benutzer müssen sich keine Sorgen machen, wenn sie Downfall während des Zeitfensters des Einbruchs nicht gestartet haben, auch wenn die Mod automatisch aktualisiert wurde. Spieler, die über den Steam Workshop auf Downfall zugegriffen haben, also Slay the Spire gestartet haben, sind ebenfalls nicht betroffen. Generell gilt: Wenn das Spiel beim Start normal aussah, waren Sie nicht betroffen. Wenn Sie Downfall aufgrund einer Fehlermeldung, dass keine .exe gefunden wurde, nicht starten konnten, sollten Sie nicht in Panik verfallen, da dies die Methode des Entwicklers war, um zu verhindern, dass die Malware die Benutzer schädigt. Einige Benutzer haben vielleicht einen Bildschirm mit einer Befehlseingabeaufforderung und etwas Text gesehen. Dabei handelt es sich um das Java-Protokoll, das bei der Wiederherstellung des Spiels durch die Entwickler versehentlich sichtbar gemacht wurde.

Wenn Sie jedoch beim Starten von Downfall am 25. Dezember ein Pop-up-Fenster zur Installation der Unity-Bibliothek gesehen haben, sind Sie möglicherweise gefährdet. In der Ankündigung von Table 9 Studio wird hervorgehoben, dass Antiviren-Software den Download der bösartigen Mod nicht stoppen konnte, aber die Sicherheitsprogramme waren erfolgreich darin, den Download der bösartigen Nutzlast auf den PC des Benutzers zu blockieren. Die Malware stiehlt Passwörter, Cookies, Zahlungsinformationen und andere Daten aus Webbrowsern und anderen Anwendungen wie Telegram, Discord usw. Nutzern, die das Unity-Pop-up angezeigt bekommen haben, und solchen, die sich betroffen fühlen, wird geraten, ihre Passwörter für ihre Online-Konten zu ändern und 2FA einzurichten, um sie zu schützen.

Einigen Berichten von Benutzern zufolge installierte die Malware eine Anwendung namens WindowsBootManager im AppData-Ordner des Benutzers oder im Ordner users/[Benutzername]/AppData/Local/Temp. Eine dieser Dateien trägt den Namen epsilon-[Benutzername].zip und enthält die gestohlenen Kennwörter, Cookies, Kreditkarten usw. Ein Benutzer erwähnte, dass er die Malware unter Local\microsoft\windows\0 fand und dass es sich um ein Videospiel namens Windows Boot Manager handelte. Der Ordner local\temp\ enthielt angeblich eine weitere Datei namens unitylibmanager.

Die Entwickler versichern, dass die Downfall-Mod wieder sicher gespielt werden kann.

Steam wird einige strenge Regeln für Entwickler aufstellen. Es wird bald ein System einführen, bei dem die Publisher eine Telefonnummer angeben müssen, um Authentifizierungscodes von den Servern von Valve zu erhalten. Die Entwickler müssen dann den Verifizierungscode eingeben, den sie per SMS erhalten haben, um einen neuen Build des Spiels, also ein neues Spiel-Update, hochzuladen. Auch wenn es ein guter Schritt ist, 2FA für Publisher verpflichtend zu machen, scheint es sehr riskant zu sein, sich auf SMS zu verlassen. Das reine Textnachrichtenprotokoll ist veraltet und höchst unsicher. Viele Entwickler haben Valve gegenüber bereits ihre Bedenken geäußert. Es bleibt zu hoffen, dass das Unternehmen auf ihr Feedback hört und sein System verbessert, um stattdessen auf 2FA-Apps zu setzen.