Vorsicht: Gefälschte itch.io-Spieleseiten stehlen Spielerkonten und verbreiten Malware

Vorsicht: Gefälschte itch.io-Spieleseiten stehlen Spielerkonten und verbreiten Malware

Zunehmender Betrug zielt auf Itch.io-Benutzer ab

Aktuelle Berichte von Malwarebytes haben auf einen beunruhigenden Betrug aufmerksam gemacht, der die Gaming-Community auf der Indie-Plattform Itch.io betrifft. Die Täter dieses Betrugs nutzen das Vertrauen zwischen Mitspielern und Indie-Entwicklern aus, indem sie sich als beliebte Titel ausgeben, wie beispielsweise das Spiel Archimoulin.

So funktioniert der Betrug

Der Prozess beginnt damit, dass die Betrüger kompromittierte Konten auf vertrauenswürdigen Kommunikationsplattformen wie Discord verwenden. Diese Taktik erhöht die Wahrscheinlichkeit, dass potenzielle Opfer den bereitgestellten bösartigen Links vertrauen und darauf klicken.

Nach dem Anklicken werden Nutzer auf eine irreführende Webseite weitergeleitet, die das Design von Itch.io imitiert und oft auf Blogspot-Subdomains oder Cloud-Link-Diensten gehostet wird. In fortgeschritteneren Varianten der Betrugsmasche wird den Opfern möglicherweise eine gefälschte Discord-Anmeldeseite angezeigt, um ihre Anmeldedaten abzugreifen. Dies gefährdet nicht nur das Konto des Opfers, sondern ermöglicht den Betrügern auch den Versand weiterer schädlicher Nachrichten.

Bösartige Downloads und Umgehungstaktiken

Opfer, die auf die betrügerische Spieleseite stoßen, sehen zwar einen Download-Button, erhalten jedoch statt des gewünschten Spiels versehentlich eine Datei mit dem typischen Namen Setup Game.exe. Diese ausführbare Datei ist so konzipiert, dass sie ohne sichtbare Benutzeroberfläche wie einen Installationsassistenten oder einen Fortschrittsbalken funktioniert und daher leicht übersehen wird.

Dieses Schadprogramm aktiviert PowerShell und führt einen verschlüsselten Befehl aus, wodurch die schädlichen Skripte vor der sofortigen Erkennung verborgen bleiben. Durch die Ausführung des Codes direkt im Speicher wird es für herkömmliche Antivirensoftware schwieriger, die Bedrohung zu erkennen. Darüber hinaus ermöglicht die Verwendung eines. NET-Tricks, das PowerShell-Fenster vor dem Benutzer zu verbergen.

Um Eingriffsversuche der Benutzer zusätzlich zu erschweren, verwendet die Malware einen taskkillBefehl zum zwangsweisen Schließen gängiger Webbrowser wie Chrome, Firefox, Brave, Edge und Opera. Dies verhindert, dass Benutzer schnell nach Informationen suchen oder den Installationsvorgang abbrechen können.

Die Bedrohungsstufe und empfohlene Maßnahmen

Diese Malware fungiert als Stager oder Loader und kommuniziert nicht direkt mit externen Servern. Stattdessen führt sie Prüfungen durch, beispielsweise durch die Untersuchung von Registrierungseinträgen, BIOS- oder Netzwerkkonfigurationen, um sicherzustellen, dass sie auf einem legitimen Rechner und nicht in einer kontrollierten Sandbox-Umgebung ausgeführt wird. Unter günstigen Bedingungen lädt diese getarnte Komponente zusätzliche schädliche Payloads herunter, darunter Backdoors, Keylogger oder Kryptowährungs-Miner.

Malwarebytes rät jedem, der die schädliche Datei ausführt, sofort Maßnahmen zu ergreifen. Wichtig ist:

  • Ändern Sie die Passwörter für Discord-, E-Mail- und Steam-Konten.
  • Aktivieren Sie die Zwei-Faktor-Authentifizierung von einem sicheren Gerät aus.
  • Melden Sie sich von allen aktiven Sitzungen ab.
  • Widerrufen Sie alle autorisierten Anwendungen oder Token von Drittanbietern.
  • Trennen Sie die betroffene Maschine vom Internet.

Bleiben Sie wachsam gegenüber unerwünschten Links

Wenn Sie sich wegen dieser anhaltenden Bedrohung Sorgen machen, achten Sie auf unerwartete Direktnachrichten mit fragwürdigen Download-Links für Spiele sowie auf ungewöhnliches Browserverhalten wie Abstürze oder das plötzliche Erscheinen neuer Ordner. Im unglücklichen Fall einer Kompromittierung Ihres Systems wird dringend eine vollständige Neuinstallation von Windows empfohlen.

Weitere Einzelheiten finden Sie im vollständigen Bericht auf der Neowin -Website.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert