Derzeit wird in der Gaming-Community intensiv über Nachrichten einer Malware namens Fractureiser diskutiert, die in Mods für Minecraft gefunden wurde. Heruntergeladen wurde sie über CurseForge und dev.bukkit.org. Gamern wird geraten, keine neuen .jar-Dateien über die genannten Websites herunterzuladen. Diejenigen, die dies in letzter Zeit getan haben, sollten ihre Computer mit Anti-Malware-Lösungen überprüfen lassen. Die Malware betrifft sowohl Nutzer von Windows- als auch von Linux-Spielversionen (andere Betriebssysteme sind anscheinend nicht betroffen).
So gelangte die Malware in die Mods
Nach einer ersten Hypothese haben unbekannte Cyberkriminelle die Konten der Mod-Entwickler auf CurseForge.com und dev.bukkit.org kompromittiert. So konnten sie ihren Schadcode in mehrere Mods einschleusen.
Die Entwickler von Prism Launcher vermuten jedoch, dass jemand eine unbekannte Schwachstelle in der Overwolf-Plattform ausgenutzt haben könnte. Sie haben zudem eine Liste der Mods veröffentlicht, die nachweislich mit Fractureiser infiziert sind.
Was ist die Fractureiser-Malware und welche Folgen hat sie?
Liebhaber berichten, dass nach der Installation der kompromittierten Mod und dem anschließenden Spielstart Schadcode eine zusätzliche Nutzlast vom Remote-Server herunterlädt und ausführt. Diese Nutzlast beginnt, Ordner und Skripte zu erstellen, und nimmt Änderungen an der Registrierungsdatenbank des Systems vor, um die Malware nach einem Neustart auszuführen.
Unabhängigen Forschern zufolge versucht die Malware in der letzten Angriffsphase, die Infektion auf alle .jar-Dateien auf dem Computer auszubreiten (vermutlich um alle zuvor heruntergeladenen Mods zu erreichen). Außerdem kann die Schadsoftware Cookie-Dateien und in Browsern gespeicherte Anmeldeinformationen stehlen sowie in der Zwischenablage hinterlegte Kryptowährungs-Adressen austauschen.
#Minecraft-Mods, die von diversen beliebten #Gaming-Websites heruntergeladen wurden, enthalten gefährliche #Schadsoftware. Was wir bis jetzt wissen.
Tweet
Anzeichen für eine Infektion mit Fractureiser
In einer Diskussion auf Reddit kam man zu dem Schluss, dass die Datei libWebGL64.jar als eindeutiges Anzeichen für eine Infektion gelten kann. Die Malware erstellt diese Datei im Ordner %LOCALAPPDATA%/Microsoft Edge/ oder /AppData/Local/Microsoft Edge/. Um die Datei zu finden, müssen Sie im Menü „Ordneroptionen“ (über „Ansicht“ und dann „Optionen“ im Windows Datei-Explorer) die Option „Versteckte Dateien, Ordner und Laufwerke anzeigen“ aktivieren und die Einstellung „Geschützte Betriebssystemdateien ausblenden“ auf der Registerkarte „Ansicht“ deaktivieren.
So können Sie sich schützen
Wenn Sie Minecraft spielen und Mods von Drittanbietern verwenden, sollten Sie als erste Maßnahme Ihren PC mit einem zuverlässigen Antivirenprogramm überprüfen. Wenn die Malware beim Scannen erkannt und gelöscht wird, sollten Sie alle Passwörter zu Online-Ressourcen ändern, auf die Sie von diesem Computer aus zugegriffen haben.
Zudem raten wir Ihnen, den Hinweisen zu folgen und keine neuen Mods für Minecraft zu installieren, bis das Problem behoben ist (und wir sprechen hier nicht nur von Mods, die direkt von den oben genannten Websites heruntergeladen wurden: Sie sollten auch keine Mods über Drittanbieter-Software installieren). Mods, Add-ons und Plugins für andere Spiele, die auf die gleiche Weise vertrieben werden, sind offenbar nicht von diesem Angriff betroffen. Sollte der Verbreitungskanal jedoch tatsächlich kompromittiert sein, ist es möglich, dass die Angreifer alternative Infektionsmethoden finden und auch Nutzer von anderen Spielen gefährden.
Grundsätzlich gilt, dass Spielemodifikationen von Liebhabern entwickelt und auf unabhängigen Plattformen gehostet werden. Die Spieleentwickler sind daher nicht für ihre Sicherheit verantwortlich und können nicht für die Sicherheit ihrer Nutzung garantieren. Aus diesem Grund ist es besser, Spielmodifikationen nur auf Computer herunterzuladen, auf denen zuverlässige Sicherheitslösungen installiert sind.