Thought Leadership
Ein manipuliertes Gratis-Spiel auf Steam schleuste Malware auf Nutzer-PCs. Der Vorfall legt eine gravierende Update-Schwachstelle bei Valve offen.
Der Plattformbetreiber Valve steht wegen mangelhafter Sicherheitsüberprüfungen auf seiner Vertriebsplattform Steam in der Kritik. Ein scheinbar harmloses Gratis-Spiel (Free-to-Play) hat die internen Kontrollsysteme passiert und Schadsoftware auf den Computern der Spieler installiert. Die Malware war darauf ausgelegt, sensible Passwörter, Browserdaten und Krypto-Guthaben von Steam zu entwenden. Nach Analysen von IT-Sicherheitsforschern wurde die Schadsoftware nicht beim ersten Einreichen des Titels implementiert, sondern gezielt über ein nachgelagertes Produkt-Update eingeschleust. Valve hat das betroffene Spiel nach dem Bekanntwerden der Vorfälle zwar von der Plattform entfernt, doch der Vorfall offenbart eine systematische Schwachstelle in der Update-Pipeline des digitalen Marktplatzes.
Tarnung als Horrorspiel auf Steam
Die genauen technischen Hintergründe des Angriffs wurden von dem IT-Sicherheitsforscher Eric Parker in einer detaillierten Code-Analyse dokumentiert. Die Schadsoftware verbarg sich in einem taktischen Überlebensspiel namens „Beyond the Dark“. Öffentliche Warnungen von记录Spielern in den Rezensionsspalten der Plattform machten schnell deutlich, dass es sich bei dem Titel um ein gekapertes Spiel aus dem Jahr 2024 mit dem ursprünglichen Namen „Rodent Race“ handelte. Betrüger hatten das Entwicklerkonto übernommen, das Spiel in ein kostenloses Horror-Szenario umgewandelt und mit Schadcode versehen, um eine möglichst große Anzahl potenzieller Opfer anzulocken.
Der Angriffsvektor nutzte eine komplexe Injektionskette, um traditionelle Sicherheitsbarrieren zu umgehen. Anstatt auffällige, verdächtige Skripte im Hauptverzeichnis zu platzieren, modifizierten die Angreifer eine legitime Kernkomponente der Spiele-Engine: die Datei UnityPlayer.dll. Diese Manipulation erlaubte es dem Programm, beim Start das eigentliche Spiel regulär im Vordergrund auszuführen, um den Schein zu wahren und keine visuellen Warnsignale an den Nutzer zu senden. Im Hintergrund leitete die manövrierte Programmbibliothek jedoch sofort verdeckte Angriffe auf browserbasierte Erweiterungen ein. Im Fokus standen insbesondere Krypto-Wallets für Google Chrome und andere Chromium-Browser, wie beispielsweise die Erweiterung MetaMask.
Vollständige Umgehung von Windows Defender
Nach der erfolgreichen Injektion des Codes stellte die Software eine Verbindung zu einem externen Befehlsserver (Command-and-Control-Server, C2) der Cyberkriminellen her. Von dort wurden sekundäre Schadprogramme nachgeladen, die das System systematisch nach lokal gespeicherten Passwörtern, Sitzungs-Cookies und Profildaten durchsuchten. Neben den finanziellen Werten auf Krypto-Konten gerieten im aktuellen Fall auch Benutzerkonten der Spieleplattform Roblox ins Visier der Angreifer.
Der Sicherheitsforscher Parker demonstrierte in seinem Testaufbau, dass die Schadsoftware während der gesamten Ausführung von einer voll funktionsfähigen und aktualisierten Instanz des integrierten Betriebssystemschutzes Windows Defender nicht erkannt wurde. Die Signaturanpassung der Angreifer war ausreichend präzise, um den Echtzeitschutz des Betriebssystems vollständig zu neutralisieren.
Kontrolllücke in Valves Update-Pipeline
Dieser Sicherheitsvorfall rückt eine seit Jahren bekannte, strukturelle Schwachstelle im Ökosystem von Valve in den Fokus der Fachöffentlichkeit. Das Unternehmen unterzieht digitale Spiele einer strengen Überprüfung auf Schadsoftware, wenn Entwickler ein neues Produkt zum ersten Mal für den Store einreichen. Sobald ein Spiel jedoch die initiale Freigabe erhalten hat und im Store gelistet ist, genießen die nachfolgenden Aktualisierungen und Patches (Post-Release Updates) weit weniger Aufmerksamkeit. Diese asymmetrische Kontrollpraxis wird von Angreifern gezielt ausgenutzt.
Bereits im Jahr 2023 kam es zu einer Serie ähnlicher Vorfälle, bei denen Hacker die Konten legitimer Entwickler kompromittierten, um Schadsoftware über automatisierte Updates an die bestehende Spielerschaft zu verteilen. Als Reaktion darauf führte Valve eine verpflichtende Zwei-Faktor-Authentifizierung (2FA) auf SMS-Basis für Entwickler ein, die Updates für bereits veröffentlichte Spiele hochladen wollen. Das Unternehmen verteidigte den dadurch entstehenden administrativen Mehraufwand als notwendigen Kompromiss, um die Nutzerbasis vor manipulierten Konten zu schützen.
Inkonsequente Sicherheitsmaßnahmen
In der Praxis hat die SMS-basierte Authentifizierung das Problem jedoch nicht dauerhaft gelöst. IT-Sicherheitsforscher haben wiederholt nachgewiesen, dass SMS-Zweitfaktoren durch gezielte Phishing-Angriffe, SIM-Swapping oder das Abfangen von Session-Tokens auf Entwicklerrechnern umgangen werden können. Der Fall von „Beyond the Dark“ im Mai 2026 belegt, dass schadstoffbelastete Updates weiterhin die Kontrollen passieren. Bereits im Jahr 2024 musste Valve einen Titel entfernen, nachdem Angreifer über ein manipuliertes Update Krypto-Guthaben im Gesamtwert von über 150.000 US-Dollar von den Systemen der Spieler entwendet hatten.
Während die schnelle Löschung des Spiels durch Valve die unmittelbare Ausbreitung stoppt, bleibt das zugrundeliegende operative Risiko für die Millionen Nutzer der Plattform bestehen. Solange die Post-Release-Pipeline nicht denselben strengen Schadsoftware-Scans unterzogen wird wie die Ersteinreichung, hängen Endanwender bei jedem automatischen Spiele-Update von der Integrität der externen Entwicklerkonten ab. Der Druck auf Valve wächst, die Überprüfungsprozesse grundlegend zu reformieren und eine lückenlose Verifizierung für jede über die Plattform verbreitete Datei einzuführen.
