{"id":30228,"date":"2023-06-16T08:32:22","date_gmt":"2023-06-16T06:32:22","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=30228"},"modified":"2023-06-16T08:32:22","modified_gmt":"2023-06-16T06:32:22","slug":"curseforge-compromised-fractureiser","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/curseforge-compromised-fractureiser\/30228\/","title":{"rendered":"Spieler von Minecraft im Visier von Angreifern"},"content":{"rendered":"<p>Derzeit wird in der Gaming-Community intensiv \u00fcber <a href=\"https:\/\/www.reddit.com\/r\/feedthebeast\/comments\/142zxka\/some_curseforge_accounts_might_be\/\" target=\"_blank\" rel=\"noopener nofollow\">Nachrichten<\/a> einer Malware namens <strong>Fractureiser<\/strong> diskutiert, die in Mods f\u00fcr Minecraft gefunden wurde. Heruntergeladen wurde sie \u00fcber <strong>CurseForge<\/strong> und <strong>dev.bukkit.org<\/strong>. Gamern wird geraten, keine neuen <strong>.jar<\/strong>-Dateien \u00fcber die genannten Websites herunterzuladen. Diejenigen, die dies in letzter Zeit getan haben, sollten ihre Computer mit Anti-Malware-L\u00f6sungen \u00fcberpr\u00fcfen lassen. Die Malware betrifft sowohl Nutzer von Windows- als auch von Linux-Spielversionen (andere Betriebssysteme sind anscheinend nicht betroffen).<\/p>\n<h2>So gelangte die Malware in die Mods<\/h2>\n<p>Nach einer ersten Hypothese haben unbekannte Cyberkriminelle die Konten der Mod-Entwickler auf CurseForge.com und dev.bukkit.org kompromittiert. So konnten sie ihren Schadcode in mehrere Mods einschleusen.<\/p>\n<p>Die Entwickler von Prism Launcher <a href=\"https:\/\/prismlauncher.org\/news\/cf-compromised-alert\/\" target=\"_blank\" rel=\"noopener nofollow\">vermuten<\/a> jedoch, dass jemand eine unbekannte Schwachstelle in der Overwolf-Plattform ausgenutzt haben k\u00f6nnte. Sie haben zudem eine <a href=\"https:\/\/prismlauncher.org\/news\/cf-compromised-alert\/#who-has-been-affected-(so-far)\" target=\"_blank\" rel=\"noopener nofollow\">Liste der Mods<\/a> ver\u00f6ffentlicht, die nachweislich mit Fractureiser infiziert sind.<\/p>\n<h2>Was ist die Fractureiser-Malware und welche Folgen hat sie?<\/h2>\n<p><a href=\"https:\/\/hackmd.io\/@jaskarth4\/B1gaTOaU2\" target=\"_blank\" rel=\"noopener nofollow\">Liebhaber berichten<\/a>, dass nach der Installation der kompromittierten Mod und dem anschlie\u00dfenden Spielstart Schadcode eine zus\u00e4tzliche Nutzlast vom Remote-Server herunterl\u00e4dt und ausf\u00fchrt. Diese Nutzlast beginnt, Ordner und Skripte zu erstellen, und nimmt \u00c4nderungen an der Registrierungsdatenbank des Systems vor, um die Malware nach einem Neustart auszuf\u00fchren.<\/p>\n<p>Unabh\u00e4ngigen Forschern zufolge versucht die Malware in der letzten Angriffsphase, die Infektion auf alle .jar-Dateien auf dem Computer auszubreiten (vermutlich um alle zuvor heruntergeladenen Mods zu erreichen). Au\u00dferdem kann die Schadsoftware Cookie-Dateien und in Browsern gespeicherte Anmeldeinformationen stehlen sowie in der Zwischenablage hinterlegte Kryptow\u00e4hrungs-Adressen austauschen.<\/p>\n<blockquote class=\"twitter-pullquote\"><p>#Minecraft-Mods, die von diversen beliebten #Gaming-Websites heruntergeladen wurden, enthalten gef\u00e4hrliche #Schadsoftware. Was wir bis jetzt wissen.<\/p><a href=\"https:\/\/twitter.com\/share?url=https%3A%2F%2Fkas.pr%2Fd1aw&amp;text=%23Minecraft-Mods%2C+die+von+diversen+beliebten+%23Gaming-Websites+heruntergeladen+wurden%2C+enthalten+gef%C3%A4hrliche+%23Schadsoftware.+Was+wir+bis+jetzt+wissen.\" class=\"btn btn-twhite\" data-lang=\"en\" data-count=\"0\" target=\"_blank\" rel=\"noopener nofollow\">Tweet<\/a><\/blockquote>\n<h2>Anzeichen f\u00fcr eine Infektion mit Fractureiser<\/h2>\n<p>In einer Diskussion auf Reddit <a href=\"https:\/\/www.reddit.com\/r\/feedthebeast\/comments\/142zxka\/some_curseforge_accounts_might_be\/\" target=\"_blank\" rel=\"noopener nofollow\">kam man zu dem Schluss<\/a>, dass die Datei libWebGL64.jar als eindeutiges Anzeichen f\u00fcr eine Infektion gelten kann. Die Malware erstellt diese Datei im Ordner %LOCALAPPDATA%\/Microsoft Edge\/ oder \/AppData\/Local\/Microsoft Edge\/. Um die Datei zu finden, m\u00fcssen Sie im Men\u00fc \u201eOrdneroptionen\u201c (\u00fcber \u201eAnsicht\u201c und dann \u201eOptionen\u201c im Windows Datei-Explorer) die Option \u201eVersteckte Dateien, Ordner und Laufwerke anzeigen\u201c aktivieren und die Einstellung \u201eGesch\u00fctzte Betriebssystemdateien ausblenden\u201c auf der Registerkarte \u201eAnsicht\u201c deaktivieren.<\/p>\n<h2>So k\u00f6nnen Sie sich sch\u00fctzen<\/h2>\n<p>Wenn Sie Minecraft spielen und Mods von Drittanbietern verwenden, sollten Sie als erste Ma\u00dfnahme Ihren PC mit einem <a href=\"https:\/\/www.kaspersky.de\/premium?icid=de_bb2022-kdplacehd_acq_ona_smm__onl_b2c_kdaily_lnk_sm-team___kprem___\" target=\"_blank\" rel=\"noopener\">zuverl\u00e4ssigen Antivirenprogramm<\/a> \u00fcberpr\u00fcfen. Wenn die Malware beim Scannen erkannt und gel\u00f6scht wird, sollten Sie alle Passw\u00f6rter zu Online-Ressourcen \u00e4ndern, auf die Sie von diesem Computer aus zugegriffen haben.<\/p>\n<p>Zudem raten wir Ihnen, den Hinweisen zu folgen und keine neuen Mods f\u00fcr Minecraft zu installieren, bis das Problem behoben ist (und wir sprechen hier nicht nur von Mods, die direkt von den oben genannten Websites heruntergeladen wurden: Sie sollten auch keine Mods \u00fcber Drittanbieter-Software installieren). Mods, Add-ons und Plugins f\u00fcr andere Spiele, die auf die gleiche Weise vertrieben werden, sind offenbar nicht von diesem Angriff betroffen. Sollte der Verbreitungskanal jedoch tats\u00e4chlich kompromittiert sein, ist es m\u00f6glich, dass die Angreifer alternative Infektionsmethoden finden und auch Nutzer von anderen Spielen gef\u00e4hrden.<\/p>\n<p>Grunds\u00e4tzlich gilt, dass Spielemodifikationen von Liebhabern entwickelt und auf unabh\u00e4ngigen Plattformen gehostet werden. Die Spieleentwickler sind daher nicht f\u00fcr ihre Sicherheit verantwortlich und k\u00f6nnen nicht f\u00fcr die Sicherheit ihrer Nutzung garantieren. Aus diesem Grund ist es besser, Spielmodifikationen nur auf Computer herunterzuladen, auf denen zuverl\u00e4ssige <a href=\"https:\/\/www.kaspersky.de\/premium?icid=de_bb2022-kdplacehd_acq_ona_smm__onl_b2c_kdaily_lnk_sm-team___kprem___\" target=\"_blank\" rel=\"noopener\">Sicherheitsl\u00f6sungen<\/a> installiert sind.<\/p>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"premium-gamer\">\n","protected":false},"excerpt":{"rendered":"<p>Minecraft-Mods, die von diversen beliebten Gaming-Websites heruntergeladen wurden, enthalten gef\u00e4hrliche Malware. Was wir bis jetzt wissen.<\/p>\n","protected":false},"author":2698,"featured_media":30229,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2711],"tags":[171,938,3307,33],"class_list":{"0":"post-30228","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"tag-gamer","9":"tag-linux","10":"tag-minecraft","11":"tag-windows"},"hreflang":[{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/curseforge-compromised-fractureiser\/30228\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/curseforge-compromised-fractureiser\/25778\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/curseforge-compromised-fractureiser\/21219\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/curseforge-compromised-fractureiser\/28472\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/curseforge-compromised-fractureiser\/26077\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/curseforge-compromised-fractureiser\/26404\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/curseforge-compromised-fractureiser\/28887\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/curseforge-compromised-fractureiser\/35519\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/curseforge-compromised-fractureiser\/48388\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/curseforge-compromised-fractureiser\/20695\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/curseforge-compromised-fractureiser\/21391\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/curseforge-compromised-fractureiser\/26391\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/curseforge-compromised-fractureiser\/32087\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/curseforge-compromised-fractureiser\/31770\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.de\/blog\/tag\/gamer\/","name":"Gamer"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/30228","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/users\/2698"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/comments?post=30228"}],"version-history":[{"count":1,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/30228\/revisions"}],"predecessor-version":[{"id":30230,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/30228\/revisions\/30230"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media\/30229"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media?parent=30228"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/categories?post=30228"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/tags?post=30228"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}