Eines der besten Argumente für den Kauf von Spielen über Steam ist der Steam Workshop. Dieser Community-Hub ermöglicht Benutzern das nahtlose Herunterladen und Installieren von Mods für ihre Lieblingsspiele. Kein Suchen nach den richtigen Dateien und den Ordnern, in denen sie sich befinden; Steam Workshop erledigt die ganze Arbeit. Da jedoch alle Inhalte vom Benutzer erstellt werden, laden böswillige Programmierer manchmal virenbeladenes Material hoch, ohne dass sich die Opfer dessen oft bewusst sind.
Anfang dieser Woche hat Kaspersky (ja, das Unternehmen, das eine Antiviren-Suite entwickelt hat, die von der FCC als nationale Sicherheitsbedrohung bezeichnet wurde) einen neuen Virus aufgedeckt, der Steam-Benutzerkonten kapert. Diese Nachricht kam mehrere Monate, nachdem das FBI vor sieben Steam-Spielen gewarnt hatte, die Malware enthielten. Laut Kaspersky nutzen Hacker die Sharing-Funktionen der Wallpaper Engine von Steam Workshop aus. Im Gegensatz zu einem durchschnittlichen Computerhintergrund ist Wallpaper Engine auf Live-Hintergrundbilder spezialisiert (denken Sie an animierte Hintergründe, die Sie auf Ihrer Xbox Series X/S und PlayStation 5 erhalten können), was Hackern mehr Raum zum Verstecken von Schadcode bietet.
Die Analyse von Kaspersky zeigt, dass es zwar nur „Dutzende“ dieser mit Schadsoftware beladenen Hintergrundbilder gibt, diese aber äußerst beliebt sind: Jedes wurde tausende, wenn nicht zehntausende Male heruntergeladen. Obwohl jeder, der die Hintergrundbilder installiert, infiziert wird, haben es die Ersteller derzeit vor allem auf chinesische Spieler abgesehen. Wie so? Kunststile und Titel seien „speziell auf sie zugeschnitten“. 89 % aller Opfer kommen aus China, gefolgt von Russland mit 5,5 %.
Wie der Virus funktioniert
Wie bereits erwähnt, soll das Virus Menschen mit bestimmten Empfindlichkeiten anlocken. Die Hintergrundbilder locken Opfer mit Frauenbildern, die man am besten als Waifu-Material bezeichnen kann. Und sobald es heruntergeladen ist, wird der Virus aktiv.
Nach der Analyse von Kaspersky installiert das Hintergrundbild nach dem Start eine Hintertür und eine ausführbare Datei, die als „Spiel“ fungiert und gleichzeitig nach Steam-Kontoanmeldeinformationen sucht. Sobald die ausführbare Datei alles hat, was sie benötigt, sendet sie die Daten an einen Server, der dem Hacker gehört. Von dort aus haben sie die volle Kontrolle über Ihr Konto; Sie können Ihr Passwort ändern, Ihre Kreditkarteninformationen stehlen und weitere infizierte Hintergrundbilder unter Ihrem Namen herunterladen. Oh, und sie können auch alle Ihre Dateien hinter Ransomware verstecken und Krypto-Mining-Software installieren, wenn sie wollen.
Laut Kaspersky verbreitet sich die Malware auf zwei Arten. Das erste ist das einfachste: Hacker greifen auf ein Archiv von Hintergrundbildern zurück, das durch EXE-Dateien, DLLs und bösartige Skripte kompromittiert ist. Allerdings behauptet Kaspersky, dass sich einige Versionen der Malware verbreiten, indem sie Opfer in unwissende Gauner verwandeln. Grundsätzlich wird das Ziel durch die Eingabe seines Passworts dazu verleitet, auf ein geschütztes Archiv zuzugreifen, das die Malware enthält. Obwohl der Hacker manchmal ein Skript installiert, das dies für ihn erledigt, sind nicht alle von uns technisch versiert genug, um uns selbst ins Bein zu schießen.
Was Sie tun können, um sicher zu bleiben
Der beste Weg, diese Malware zu vermeiden, besteht natürlich darin, sich vorerst von der Wallpaper Engine von Steam Workshop fernzuhalten. Wenn Sie wirklich ein spezielles Hintergrundbild benötigen, verwenden Sie obskure Windows-Apps wie WinDynamicDesktop oder laden Sie von Van Gogh inspirierte Hintergrundbilder für Ihren Mac herunter. Nehmen wir jedoch an, dass Sie diese Hintergrundbilder heruntergeladen haben, bevor Sie diesen Artikel gelesen haben. Du bist noch nicht dem Untergang geweiht.
Kaspersky-Daten zeigen, dass die Verbreitungsmethode zwar etwas neu ist, die Malware selbst jedoch auf bekannte Gesichter innerhalb der Cybersicherheits-Community zurückgreift. Dazu gehören Programme wie DarkKomet, die Infostealer Lumma und Vidar sowie der RenEngine-Loader. Viele bestehende Antiviren-Suiten (einschließlich Kasperskys eigenem Programm natürlich) können diese Viren lokalisieren und unter Quarantäne stellen. Kaspersky empfiehlt, nach folgenden Erkennungen zu suchen:
-
ZEIT: Rojan-PSW.Win32.gen
-
ZEIT:Trojan-PSW.Win32.Python.gen
-
TIME Backdoor.Win32.DarkKomet
-
Trojan-Dropper.Python.Agent
-
ZEIT: Trojan-Random.Win32.Gen.gen
-
PDM: Trojan.Win32.Generic
Wenn Ihr Anti-Malware-Programm eines dieser Objekte erkennt, gehen Sie davon aus, dass Ihr Computer kompromittiert wurde. Quarantäne oder Virenentfernung, dann beauftragen Sie einen guten Computer-Reparaturtechniker mit der Reinigung Ihres PCs. Vergessen Sie nicht, währenddessen alle Ihre Passwörter zurückzusetzen und die Zwei-Faktor-Authentifizierung einzurichten. Seien Sie einfach geduldig und gründlich, dann sollte sich irgendwann alles wieder normalisieren.