Thought Leadership
G DATA CyberDefense warnt vor einer aktiven Malware-Kampagne, die Nutzer des Aufbauspiels Minecraft ins Visier nimmt.
Cyberkriminelle verbreiten dabei manipulierte Erweiterungen, sogenannte Modpacks, über eine eigene Webseite und ködern Spieler mit Versprechungen von ungestörtem Spielspaß. Im Hintergrund stehlen sie unter anderem Browserdaten und Passwörter.
Minecraft-Spieler suchen auf alternativen Spielservern Ruhe vor sogenannten „Griefern“ – Spielern, die anderen den Spielspaß verderben wollen. Die Plattform SugarSMP gibt vor, ein solches friedliches Online-Refugium zu bieten. Dazu sollen sich Spieler auf einem privaten Server einloggen. Dieser setzt die Installation so genannter Modpacks voraus. In der Szene nichts Ungewöhnliches, nur lauert in diesem Fall Schadsoftware unter der bonbonbunten Verkleidung.
Dreh- und Angelpunkt der Kampagne ist „SparkStealer“ – eine Schadsoftware, die sensible Informationen wie Zugangsdaten – unter anderem für Github -, Browser-Informationen, Krypto-Wallets sowie Inhalte aus Anwendungen wie Discord, Steam oder Telegram abgreift – und sogar Nutzer mit den abgegriffenen Daten erpresst. Einer der Betroffenen hat sich daraufhin auf der Diskussionsplattform Reddit gemeldet und vor der Seite gewarnt.
Malware entfernt und um Hilfe gebeten
Besonders bemerkenswert ist hierbei der Aufwand, den die Köpfe hinter SugarSMP betrieben haben, um ihren Namen reinzuwaschen. Es sollte sich im Laufe der Untersuchungen herausstellen, dass nicht nur zahlreiche Kopien der SugarSMP-Webseite existieren. Die Kriminellen dahinter haben auch versucht, mittels Social Engineering die Warnung eines Nutzers vor der bösartigen Webseite aus dem Internet zu entfernen. Dazu haben sie zeitweise sogar die Malware von der Webseite entfernt und sie durch harmlose, saubere Downloads ersetzt und aktiv um Hilfe gebeten.
Nutzer, deren Systeme möglicherweise mit dem Spark Stealer infiziert wurden, sollten Discord neu installieren, geplante Aufgaben entfernen und ihr System mit einem aktuellen Antivirenprogramm überprüfen. Außerdem sollten sie sich aus Browser- und Discord-Sitzungen abmelden und die Discord-Backup-Codes für die Zwei-Faktor-Authentifizierung neu generieren. Alle potenziell betroffenen Passwörter müssen geändert werden.
(cm/G DATA)
