Die auf Steam veröffentlichte „BlockBlasters“ des Entwicklers Genesis Interactive wurde nach Hinweisen auf Schadcode aus dem Store entfernt. Im Zentrum steht ein Infostealer – eine Malware-Klasse, die gespeicherte Zugangsdaten und Krypto-Assets abgreift. Der Fall erlangte besondere Aufmerksamkeit, nachdem der Streamer RastalandTV (Raivo Plavnieks) während eines Livestreams nach Installation des Spiels 32.000 US‑Dollar verlor, die für eine Krebsbehandlung gesammelt worden waren.
Timeline und Entfernung aus dem Steam-Store
Laut SteamDB war BlockBlasters vom 30. Juli bis 21. September 2025 verfügbar. Bis zum 30. August verhielt sich das Spiel unauffällig; anschließend wurde über ein Update ein bösartiger Bestandteil nachgeladen, der speziell auf den Diebstahl von Krypto-Vermögenswerten abzielte. Das Spiel ist inzwischen entfernt, Spuren existieren jedoch in Archiven und Monitoring-Datenbanken.
Taktiken, Techniken und Prozeduren (TTPs) der Angreifer
Dropper, Anti-Analyse und C2-Kommunikation
Analysen von Sicherheitsexperten zeigen einen Batch-Dropper, der zunächst Anti‑VM- und Anti‑Analyse-Prüfungen durchführte. Anschließend exfiltrierte er Steam-Logindaten samt IP‑Adresse und übermittelte diese an einen Kommando‑und‑Kontrollserver (C2). Solche Dropper dienen als Erststufe, um die eigentliche Payload unauffällig nachzuladen und Persistenz zu etablieren.
Infostealer „StealC“ und Python-Backdoor
Nach Angaben von G DATA kamen zusätzlich eine Python‑Backdoor und der Infostealer StealC zum Einsatz. StealC ist dafür bekannt, Browser‑Geheimnisse (Cookies, AutoFill, Passwörter), Sitzungstokens und teils Daten aus Desktop‑Wallets zu extrahieren. Dadurch werden nicht nur Steam‑Konten gefährdet, sondern auch Börsenlogins und Krypto‑Wallets, wenn diese auf demselben System genutzt werden.
Schadensbild, Zielauswahl und Social Engineering
Der Blockchain-Analyst ZachXBT beziffert die Verluste auf mindestens 150.000 US‑Dollar bei 261 betroffenen Steam‑Nutzern. VXUnderground meldete 478 potenziell kompromittierte Accounts und rief öffentlich zum Passwort‑Reset sowie zu zusätzlichen Schutzmaßnahmen auf. Laut Beobachtungen agierten die Täter selektiv: Nutzer mit sichtbaren Krypto‑Beständen wurden in X (ehemals Twitter) via Direktnachricht angesprochen, zum Installieren der „neu erschienenen“ Titel animiert und teils um Promo im Stream gebeten.
Community-Reaktion und Stand der Ermittlungen
Innerhalb der Community gab es schnelle Unterstützung: Der Krypto‑Influencer Alex Becker überwies dem betroffenen Streamer 32.500 US‑Dollar auf ein sicheres Wallet. Parallel beschleunigte sich die GoFundMe‑Kampagne. Auf Angreiferseite wurden OpSec‑Fehler sichtbar: Fragmente eines Telegram‑Bots und Tokens gelangten in die Öffentlichkeit. OSINT‑Recherchen deuten auf einen möglichen Verdächtigen in den USA hin; entsprechende Hinweise sollen an US‑Behörden weitergegeben worden sein. Diese Angaben sind bislang nicht offiziell bestätigt.
Einordnung: Wiederholte Malware-Fälle in Steam 2025
BlockBlasters ist bereits der vierte dokumentierte Malware‑Vorfall auf Steam im Jahr 2025. Zuvor wurden Sniper: Phantom’s Resolution und PirateFi entfernt; im Juli fiel Chemia durch einen Infostealer auf. Die Musterlage zeigt ein strukturelles Risiko: Angreifer missbrauchen Update‑Kanäle, um nach initialer Freigabe schädliche Komponenten einzuschleusen. Plattformen sollten daher Vorab‑Prüfungen mit kontinuierlichen Post‑Release‑Scans, Telemetrie‑basiertem Monitoring und strengeren Maßnahmen bei Entwickler‑Updates ergänzen.
Praktische Sicherheitsmaßnahmen für Gamer und Streamer
1) Kontoschutz stärken: Steam Guard und 2FA überall aktivieren; Wiederherstellungscodes sicher offline aufbewahren.
2) Krypto und Gaming trennen: Seeds/Private Keys offline lagern; Krypto‑Transaktionen auf einem separaten Gerät oder Profil durchführen.
3) Social‑Engineering erkennen: Keine Spiele aus Direktnachrichten installieren – insbesondere nicht unmittelbar vor Livestreams.
4) Passwort‑Hygiene: Starke, einzigartige Passwörter mit Manager; regelmäßige Wechsel und Prüfung auf Leaks.
5) Bei Verdacht auf Kompromittierung: Globalen Logout erzwingen, Passwörter ändern, Tokens/Anmeldesitzungen widerrufen, System mit aktualisiertem AV/EDR scannen.
Der Fall verdeutlicht, dass Spiele‑Plattformen zunehmend als Lieferkette für zielgerichtete Malware missbraucht werden – besonders gegen Personen mit Bezug zu Krypto‑Assets. Nutzer sollten ihre operative Hygiene überprüfen und Isolation, Minimalrechte und Multi‑Faktor‑Schutz zur Norm machen, während Plattformbetreiber Updates enger überwachen und schneller auf Community‑Signale reagieren.
