Das Federal Bureau of Investigation (FBI) warnt Steam-Nutzer vor einer Reihe vermeintlicher Indie-Spiele, die in Wirklichkeit als Verteiler für Malware dienten. Zwischen Mai 2024 und Januar 2026 wurden über die Plattform infizierte Spiele verbreitet, die auf den Diebstahl von Kryptowährungen und Online-Accounts spezialisiert waren. Potenzielle Opfer werden vom FBI aufgefordert, sich zu melden und Informationen bereitzustellen, um die laufenden Ermittlungen zu unterstützen.
Welche Steam-Spiele im Fokus des FBI stehen
In einem Sicherheitsbulletin der FBI-Niederlassung Seattle werden mehrere Spiele namentlich genannt, die über Steam schädliche Software verbreitet haben sollen: BlockBlasters, Chemia, Dashverse (DashFPS), Lampy, Lunara, PirateFi und Tokenova. Diese Titel wurden als harmlose, oft kostenlose Indie-Games beworben, enthielten aber Komponenten, die Systeme der Spieler gezielt kompromittierten.
Das FBI stellt betroffenen Anwendern ein Online-Formular zur Verfügung. Abgefragt werden unter anderem auffällige Kryptowährungstransaktionen, kompromittierte Zugangsdaten, übernommene Konten sowie Angaben zu verlorenen Geldern. Zusätzlich bittet die Behörde um Screenshots, Chat-Logs und Kommunikationsverläufe mit Personen oder Communities, die diese Spiele empfohlen oder beworben haben. Diese Daten sind entscheidend, um Geldflüsse über die Blockchain nachzuverfolgen und die Hintermänner der Kampagnen zu identifizieren.
Rechtsstellung der Opfer und Vertraulichkeit der Meldungen
Im Bulletin betont das FBI, dass es gesetzlich verpflichtet ist, Opfer von Bundesdelikten zu identifizieren und über ihre Rechte zu informieren. Betroffene können in den USA unter Umständen Anspruch auf Unterstützungsleistungen, Schadensersatzprogramme und zusätzliche Schutzmassnahmen nach Bundes- oder Landesrecht haben. Dies gilt insbesondere bei systematischen Betrugs- und Cybercrime-Fällen.
Gleichzeitig weist die Behörde darauf hin, dass personenbezogene Daten der Opfer vertraulich behandelt und nicht öffentlich gemacht werden. Viele Geschädigte zögern, Cyberangriffe zu melden, insbesondere wenn hohe Summen in Kryptowährungen verloren gingen oder der eigene Steam-Account kompromittiert wurde. Die Zusicherung von Vertraulichkeit soll die Meldebereitschaft erhöhen – ein wichtiger Faktor, da laut Studien von ENISA und Chainalysis ein grosser Teil von Krypto-bezogenen Vorfällen nie offiziell erfasst wird.
Wie infizierte Steam-Spiele und Infostealer arbeiten
Die jetzt aufgedeckte Kampagne reiht sich in einen klaren Trend ein: Malware in Games und Modifikationen nimmt seit Jahren zu. Häufig kommen sogenannte Infostealer zum Einsatz – Schadprogramme, die im Hintergrund vertrauliche Informationen auslesen, etwa Logins, Passwörter, Browser-Cookies, Session-Tokens, Messenger-Daten und Krypto-Wallet-Informationen. Laut mehreren Threat-Intelligence-Berichten gehören Infostealer zu den am schnellsten wachsenden Malware-Kategorien im Gaming- und Krypto-Umfeld.
Nach erfolgreicher Infektion sendet der Stealer die abgegriffenen Daten an einen Steuerungsserver der Angreifer. Diese nutzen die Informationen für Account-Übernahmen von Steam, E-Mail-Diensten, Kryptobörsen und Wallets. Für Gamer bedeutet dies nicht nur den Verlust von Spielen, Skins und Inventaren, sondern oft auch direkten finanziellen Schaden durch geleerte Wallets oder Verkäufe wertvoller In-Game-Items auf dem Schwarzmarkt.
BlockBlasters: Spenden-Diebstahl als Auslöser breiter Aufmerksamkeit
Einer der bekanntesten Fälle ist das Spiel BlockBlasters, ein kostenloser 2D-Plattformer, der zwischen Juli und September 2025 auf Steam verfügbar war. Der Fall erregte internationale Aufmerksamkeit, nachdem beim Streamer Raivo Plavnieks (RastalandTV) rund 32.000 US-Dollar entwendet wurden, die seine Community für eine Krebsbehandlung gesammelt hatte. Die Malware griff offenbar auf seine Krypto-Assets und Zugänge zu.
Der bekannte Blockchain-Analyst ZachXBT schätzte den Gesamtschaden der BlockBlasters-Kampagne auf etwa 150.000 US-Dollar und mindestens 261 betroffene Steam-Nutzer. Das Forschungsprojekt VX-Underground geht sogar von bis zu 478 Opfern aus. Die Differenz ist typisch für Kryptokriminalität: Viele Vorfälle werden nie gemeldet, Transfers lassen sich zwar in der Blockchain sehen, aber nicht immer eindeutig einzelnen Opfern zuordnen.
Chemia, PirateFi & Co.: Vidar und Fickle Stealer im Spiele-Mantel
Ein weiteres Beispiel ist das Spiel Chemia, in das ein Angreifer unter dem Alias EncryptHub den Loader HijackLoader einbaute. Dieser installierte den verbreiteten Infostealer Vidar sowie einen zusätzlichen, massgeschneiderten Stealer namens Fickle Stealer. Diese Kombination zielte auf ein breites Spektrum sensibler Daten: Passwörter, Cookies, Browser-Historien, Krypto-Wallets und Zugangsdaten zu Online-Diensten.
Ähnlich agierte PirateFi, das ebenfalls Vidar auslieferte und im Februar 2025 etwa eine Woche lang auf Steam verfügbar war. Schätzungen zufolge luden bis zu 1.500 Nutzer das Spiel herunter. Nach Bekanntwerden der Infektion entfernte Valve den Titel und warnte betroffene Spieler proaktiv per E-Mail. Das Unternehmen empfahl ein vollständiges Antivirus-Scanning, eine Überprüfung installierter Software und im Zweifelsfall sogar eine Neuinstallation des Betriebssystems – ein Hinweis darauf, wie tiefgreifend der potenzielle Systembefall war.
Risiken für Gamer und praxisnahe Sicherheitsmassnahmen
Angriffe über Spieleplattformen wie Steam sind besonders perfide, weil sie die Vertrauensstellung von Gaming-Content ausnutzen. Gratis-Indies, „Play-to-Earn“-Titel, NFT-Spiele oder Projekte mit versprochenen Token-Belohnungen sind attraktive Köder für Cyberkriminelle. Für Nutzer mit verknüpften Krypto-Wallets, Trading-Accounts oder wertvollen In-Game-Inventaren kann ein einziger infizierter Download existenzielle Verluste bedeuten.
Das Risiko lässt sich jedoch deutlich reduzieren, wenn grundlegende Security-Praktiken konsequent umgesetzt werden. Dazu gehören: Installation von Spielen nur aus seriösen Quellen, kritischer Blick auf Bewertungen, Entwicklerprofile und Update-Historie, systematische Nutzung von Zwei-Faktor-Authentifizierung (2FA) für Steam, E-Mail, Kryptobörsen und Wallet-Dienste, regelmässige Updates von Betriebssystem und Sicherheitssoftware sowie die strikte Trennung zwischen Gaming-Accounts und Wallets mit hohen Krypto-Beständen.
Nutzer, die eine der vom FBI genannten Spiele installiert oder gestartet haben, sollten umgehend Passwörter ändern, aktive Sitzungen und verknüpfte Geräte überprüfen, verdächtige API- oder Zugriffstoken widerrufen, ein vollumfängliches Malware-Scanning durchführen und im Zweifel ein frisches System-Setup in Betracht ziehen. Wer Unregelmässigkeiten oder Verluste feststellt, sollte diese konsequent bei Strafverfolgungsbehörden melden. Jede Meldung trägt dazu bei, Täterketten aufzuklären, Infrastruktur der Angreifer abzuschalten und zukünftige Angriffe auf die Gaming-Community und Krypto-Anleger zu verhindern.
