Cyberkriminelle haben über gefälschte Minecraft-Mods eine groß angelegte Malware-Kampagne gestartet und dabei mehr als 116.000 Spieler kompromittiert. Besonders brisant: Für lediglich fünf US-Dollar pro Monat konnten Angreifer auf die Bildschirme, Dateien und sogar die Webcams ihrer Opfer zugreifen.
Sicherheitsforscher von McAfee entdeckten die Kampagne, die sie „WeedHack“ nannten. Das kriminelle Netzwerk war seit Januar 2026 aktiv und verzeichnete täglich zwischen 2.000 und 3.000 neue Infektionen. Im Gegensatz zu vielen vergleichbaren Malware-Angeboten, die häufig nur im Darknet erhältlich sind und mehrere Hundert Dollar pro Monat kosten, benötigten Interessenten hier lediglich einen Discord-Account.
Verbreitung über gefälschte Downloads
Die Schadsoftware wurde über manipulierte YouTube-Tutorials und speziell optimierte Download-Webseiten verbreitet. Diese Seiten wurden gezielt so gestaltet, dass sie in Suchmaschinen vor den offiziellen Mod-Webseiten erscheinen. Zu den betroffenen Minecraft-Clients gehörten unter anderem Meteor, LiquidBounce und Wurst.
Nach der Installation arbeitete die Malware in mehreren Schritten unbemerkt im Hintergrund. Zunächst stellte sie eine Verbindung zu einem Kontrollserver her, dessen Infrastruktur teilweise über die Ethereum-Blockchain abgesichert war. Anschließend deaktivierte sie Windows Defender, richtete dauerhafte Systemzugriffe ein und ermöglichte zahlenden Nutzern den Fernzugriff auf die kompromittierten Geräte.
Kostenlose Version bereits hochgefährlich
Auch die kostenlose Variante stellte ein erhebliches Sicherheitsrisiko dar. Sie konnte gespeicherte Passwörter und Cookies aus 36 verschiedenen Browsern auslesen, Zugangsdaten für Discord und Steam stehlen sowie Daten aus Kryptowährungs-Wallets abgreifen. Zusätzlich wurden Minecraft-Sitzungsdaten erfasst, wodurch Angreifer Nutzerkonten übernehmen konnten, ohne das eigentliche Passwort zu kennen.
Jugendliche missbrauchten die Software für Schikanen
Besonders überraschend war für die McAfee-Forscher die Art der Nutzung. Bei der Beobachtung eines Telegram-Kanals mit mehr als 850 Mitgliedern stellten sie fest, dass viele Nutzer offenbar Jugendliche waren. Statt sich auf finanziellen Betrug zu konzentrieren, nutzten sie die Fernzugriffsfunktionen häufig dazu, Mitschüler oder andere Spieler auszuspionieren.
Teilweise wurden Webcam-Aufnahmen der Opfer erstellt und anschließend im Telegram-Kanal veröffentlicht. Zwar wurde dieser Kanal inzwischen entfernt, die Malware-Kampagne selbst läuft jedoch weiter. Die Betreiber registrieren fortlaufend neue Domains, sobald bestehende Webseiten gesperrt oder gemeldet werden.
Kriminelles Geschäftsmodell mit Premium-Funktionen
Die Betreiber akzeptierten Zahlungen in Bitcoin und Litecoin und erzeugten für jede Transaktion eine neue Wallet-Adresse, um Nachverfolgungen zu erschweren. Darüber hinaus betrieben sie ein öffentliches Wunschlisten-System für neue Funktionen.
Zu den beliebtesten Vorschlägen gehörten sogenannte „Jump Scares“, mit denen Nutzer erschreckt werden sollten, sowie die Integration von Ransomware-Funktionen zur Verschlüsselung von Dateien.
Gaming-Downloads bleiben beliebtes Angriffsziel
Der Vorfall reiht sich in eine Serie ähnlicher Angriffe ein. Bereits Anfang des Jahres wurde ein Horror-Spiel auf Steam entfernt, nachdem es Passwörter und Browserdaten von Nutzern gestohlen hatte. Auch Minecraft-Spieler waren in der Vergangenheit wiederholt Ziel von Malware-Kampagnen, die sich hinter angeblichen Cheats oder Modifikationen versteckten.
Der aktuelle Fall zeigt erneut, wie wichtig es ist, Mods und Erweiterungen ausschließlich aus vertrauenswürdigen Quellen herunterzuladen und Sicherheitswarnungen ernst zu nehmen.
Quelle: dexerto
