Gefälschte Minecraft-Mods verbreiten die Malware WeedHack. Bereits 116.000 Opfer sind davon betroffen. Die Täter nutzen SEO und YouTube.
Minecraft gehört zweifellos seit Jahren zu den beliebtesten Spielen weltweit. Einen großen Anteil daran haben die zahllosen Mods, mit denen Spieler ihr Gaming-Erlebnis erweitern können. Genau diese Beliebtheit machen sich Cyberkriminelle nun zunutze: Laut einer aktuellen Analyse von McAfee verbreitet eine Malware-Kampagne namens „WeedHack“ Schadsoftware über gefälschte Mod-Webseiten und hat bereits mehr als 116.000 Systeme kompromittiert. Das Spiel gilt aber schon länger als anfällig für die Aktivitäten von Cyberkriminellen.
Wofür dienen Minecraft-Mods?
Kurz zur Erklärung: Bei Minecraft-Mods handelt es sich um Erweiterungen, die das Spiel verändern oder um neue Funktionen ergänzen. Viele Mods fügen zusätzliche Inhalte wie neue Gegenstände, Kreaturen oder Spielmechaniken hinzu, während andere die Grafik verbessern oder den Spielkomfort erhöhen. Die im aktuellen McAfee-Bericht genannten Projekte wie Meteor Client, Wurst Client, Aristois oder LiquidBounce gehören allerdings überwiegend zu den sogenannten Hack-Clients.
Diese bieten Spielern auf Multiplayer-Servern unfaire Vorteile, etwa das Erkennen von Rohstoffen durch Wände, automatisches Zielen auf Gegner, schnelleres Bewegen oder weitere Cheat-Funktionen.
Täter missbrauchen GitHub-Projekte und Suchmaschinen
Wer nach neuen Minecraft-Mods sucht, landet häufig über Google oder andere Suchmaschinen bei den entsprechenden Projekten. Die Angreifer setzen hier auf sogenanntes SEO-Poisoning. Sie erstellen täuschend echte Webseiten, die als offizielle Download-Portale bekannter Mods erscheinen sollen.
Betroffen sind unter anderem populäre Projekte wie:
- Meteor Client
- Radium Client
- Wurst Client
- Aristois
- LiquidBounce
- Impact Client
Besonders perfide: Die Täter wählen gezielt Mods aus, die hauptsächlich über GitHub verbreitet werden und keine eigene offizielle Webseite besitzen. Dadurch ist die Fälschung einfacher und fällt nicht so schnell auf.
YouTube dient als zusätzlicher Verbreitungsweg
Auch das Videoportal YouTube spielt eine wichtige Rolle bei der Verbreitung von WeedHack. Die Angreifer veröffentlichen professionell wirkende Videos, die vermeintlich die Installation beliebter Mods erklären.
In den Kommentaren geben Komplizen oder automatisierte Accounts Hilfestellung bei der Installation und beruhigen Nutzer, wenn Windows vor einer potenziellen Gefahr warnt. Die eigentliche Schadsoftware verteilte man über Links in der Videobeschreibung.
WeedHack: Malware-as-a-Service ab 5 US-Dollar monatlich
Dahinter steckt offenbar ein Malware-as-a-Service-Modell. Kriminelle können zwischen einer kostenlosen und einer kostenpflichtigen Variante wählen.
Bereits die Gratis-Version bietet umfangreiche Funktionen:
- Diebstahl von Browser-Cookies
- Auslesen gespeicherter Passwörter
- Zugriff auf Krypto-Wallets
- Screenshot-Erstellung
- Diebstahl von Zugangsdaten für Discord, Telegram und Steam
Das ist wahrlich schon eine ganze Menge. Für lediglich 5 US-Dollar monatlich erhalten Kunden zusätzliche Funktionen wie:
- Webcam-Zugriff
- Keylogger
- Reverse-Shell-Zugänge zur Fernsteuerung kompromittierter Systeme
Niedrige Einstiegshürde für Cyberkriminelle
Die Kombination aus professioneller Vermarktung, gefälschten Webseiten und günstigen Preisen macht WeedHack besonders gefährlich. Selbst technisch wenig versierte Täter können die Schadsoftware einsetzen und von den gestohlenen Daten profitieren.
So schützen sich Minecraft-Spieler
Wer Mods installieren möchte, sollte Downloads ausschließlich aus vertrauenswürdigen Quellen beziehen. Besonders bei Suchmaschinentreffern und YouTube-Links ist Vorsicht geboten. Im Zweifel empfiehlt sich ein direkter Besuch der offiziellen GitHub-Seite des jeweiligen Projekts.
Die WeedHack-Kampagne zeigt erneut, wie geschickt Cyberkriminelle beliebte Gaming-Communities als Einfallstor für Malware missbrauchen. Minecraft-Spieler sollten deshalb unbedingt jeden Download kritisch prüfen, bevor sie eine Datei ausführen. Oder man verzichtet sicherheitshalber lieber auf einen neuen Mod, um keine unnötigen Risiken einzugehen.
