Populäre «Minecraft»-Mods mit Malware infiziert

CurseForge, eine der grössten Hosting-Plattformen für «Minecraft»-Mods, rät dringend dazu, keine neuen Mods und Plugins mehr herunterzuladen oder zu aktualisieren. Dutzende seien von der Fracturiser-Malware infiziert. Hacker haben offenbar mehrere Entwickler-Accounts der Hosting-Plattformen CurseForge und Bukkit gehackt und konnten den Schadcode auf diese Weise in die «Minecraft»-Mods schleusen. Darunter auch in äusserst beliebte, wie etwa «Better «Minecraft»», welcher weit über vier Millionen Mal heruntergeladen wurde.

Was tut die Malware und wie werde ich sie los?

Fracturiser läuft auf Windows und Linux und wird in drei Phasen in die Systeme eingeschleust, sobald ein infizierter Mod gestartet wird. In jeder der drei Phasen wird aus dem Netz zusätzlicher Code nachgezogen, was es für Virenscanner äusserst schwierig macht, die Malware zu erkennen. In der dritten Stufe – derzeit die letzte bekannte – erstellt Fracturiser Ordner und Skripte und nimmt Änderungen an der Systemregistrierung vor. Damit will er dir verschiedene heikle Daten stehlen, darunter:

• Die Login-Daten deines Discord-, Microsoft-, und «Minecraft»-Accounts
• Web-Cookies und Login-Daten verschiedener Browser

Weiter sucht die Malware in der Zwischenablage nach Adressen von Kryptowährungen und versucht, andere «Minecraft»-Mods zu infizieren und sich so zu verbreiten.

CurseForge, die das Problem entdeckt haben, stellen hier einen Guide zur Verfügung, mit dem du herausfinden kannst, ob dein System mit Fracturiser infiziert ist und wie du es wieder loswirst (Englisch). Ebenfalls listen sie auf, welche Mods bereits nachweislich mit der Malware infiziert wurden – und verweisen darauf, dass sich der Vorfall mutmasslich innert der letzen 30 Tage ereignet haben muss.