Steam Not Good Guy Investigation
Untersuchung Korruption

Profit vor Spielern: Die Vertuschung bei BlockBlasters (Steam-Skandale, Teil 1)

Wir starten eine mehrteilige Recherche, die die verborgene Wahrheit über Steam aufdeckt, die Korruption hinter dessen Geschäftspraktiken, den systematischen Missbrauch, die Ausbeutung und die Nachlässigkeit, die Millionen von Nutzern geschadet haben, aufdeckt und aufzeigt, wie ein globales Monopol eine Gaming-Plattform in eine Maschine der Manipulation und des stillen Profits verwandelt hat.

Lesezeit: 10 Minuten· Aktualisiert März 2026· PhishDestroy Intelligence
PD
PhishDestroy-Team
Untersuchungsbericht
Steam BlockBlasters Investigation - Profit Over Players

Kritischer Befund

Steam lügt unverhohlen, deckt Kriminelle und behindert die Ermittlungen.

Einleitung: Ein Verbrechen aus kalkulierter Fahrlässigkeit

Im August 2025 wurde die weltweit größte Gaming-Plattform, Steam, nicht nur Opfer einer Sicherheitslücke, sondern hat diese sogar aktiv ermöglicht. Durch eine Kette von systemischen Versäumnissen und grober Fahrlässigkeit hat Valve das Spiel BlockBlasters (AppID 3872350) wurde zum Trojaner für eine verheerende Malware-Kampagne. Es handelte sich nicht um einen ausgeklügelten, unvermeidbaren Angriff. Es war eine klassische Datendiebstahlaktion, die erfolgreich war, weil die Sicherheit von Steam grundlegend mangelhaft ist. 22 Tage lang wurden Hunderttausende Dollar gestohlen, Krypto-Wallets leergeräumt und Benutzerkonten kompromittiert, während Valve untätig blieb.

Als die Wahrheit ans Licht kam, bestand Valves Reaktion nicht darin, seine Nutzer zu schützen, sondern sein Image zu wahren. Das Unternehmen veröffentlichte eine einzige, irreführende Erklärung, in der es die Schuld auf ein „kompromittiertes Entwicklerkonto“ schob – eine erbärmliche Lüge, die darauf abzielte, die Schuld abzuwälzen und sich vor der Haftung zu schützen. Dieser Artikel wird diese Lüge entlarven. Anhand forensischer Daten, einer Zeitachsenanalyse und Valves eigenen Richtlinien werden wir beweisen, dass es sich bei diesem Vorfall nicht nur um eine Unterlassung handelte, sondern um eine absichtliche Vertuschung von grob fahrlässigem Verhalten.

Corporate negligence timeline: Day 1 malware published, Day 3 first reports, Day 3 multiple flags, Day 10 zero action with 1,489,500 victims exposed, Day 22 finally removed
Zeitachse der Unternehmensnachlässigkeit: Tag 1 – Malware veröffentlicht, Tag 3 – erste Meldungen, Tag 3 – mehrere Warnsignale, Tag 10 – keinerlei Maßnahmen, obwohl 1.489.500 Opfer betroffen waren, Tag 22 – endlich entfernt

Enthüllte Identität

Steam lügt unverhohlen und verschweigt, dass Valentin Lopes der verifizierte Entwickler hinter der schädlichen Anwendung ist.

Der 22-tägige Zeitplan der Untätigkeit

Valve hatte 22 Tage Zeit, dies zu unterbinden. Es gingen zahlreiche Nutzerberichte ein, und die Plattformdaten wiesen deutliche Anzeichen für Probleme auf. Ihr Schweigen war eine bewusste Entscheidung.

31. Juli 2025

„BlockBlasters“ wird veröffentlicht. Eine einwandfreie, legitime Version wird im Rahmen des Steam-Prüfungsverfahrens freigegeben.

30. August 2025

Die Falle ist gestellt. Die Angreifer veröffentlichen den Patch Build 19799326. Dieses Update, das die Schadsoftware enthält, wird von Steam genehmigt und an alle Spieler verteilt.

Anfang September 2025

Die ersten Opfer schlagen Alarm. Nutzer überschütten den Steam-Support mit Tickets, in denen sie von ungewöhnlicher CPU-Auslastung, verdächtigem Netzwerkverkehr und – vor allem– gestohlener Kryptowährung berichten. Diese Tickets verschwinden in einem schwarzen Loch und werden von Valve ignoriert.

6. bis 12. September 2025

Die Daten schreien geradezu nach einer Warnung. Öffentliche Telemetriedaten von SteamDB zeigen, dass die Spielerzahlen auf einstellige Werte eingebrochen sind, doch das Spiel bleibt auf Hunderten von Rechnern installiert und sammelt still und leise Daten. Diese massive Diskrepanz ist ein Alarmsignal, das jedes kompetente Überwachungssystem hätte erkennen müssen.

21. September 2025

Die Community schreitet ein. Unabhängige Sicherheitsforscher decken die auf Telegram basierende Command-and-Control-Infrastruktur der Malware auf und zwingen die Hacker zum Handeln.

22. September 2025

Die Beweise sind unbestreitbar. Die G DATA CyberDefense AG veröffentlicht einen umfassenden forensischen Bericht, der den mehrstufigen Angriffsvektor der Malware bestätigt und die technischen Details des Angriffs offenlegt.

Die Anatomie des Angriffs

Es handelte sich nicht um hochentwickelte Malware. Es war eine primitive, aber wirksame Mischung aus gängigen Skripten und Stealern, deren Erkennung für eine milliardenschwere Plattform eigentlich ein Kinderspiel hätte sein müssen.

Phase 1: Erstinfektion (game2.bat)

Die ursprüngliche Nutzlast, ein einfaches Batch-Skript, führte grundlegende Erkundungsmaßnahmen durch: Es sammelte IP-Adressen, Geolokalisierungsdaten und Steam-Benutzerdaten. Anschließend lud es eine passwortgeschützte ZIP-Datei (v1.zip) herunter – eine klassische Technik, um einfache automatisierte Scanner zu umgehen.

Phase 2: Umgehung und Eskalation (VBS-Loader)

Mithilfe von VBS-Skripten führte die Malware ihre Kernkomponenten in versteckten Befehlsfenstern aus. Sie fügte ihr eigenes Verzeichnis zur Ausschlussliste von Microsoft Defender hinzu – eine Aktion, die auf jedem überwachten System einen sofortigen Alarm mit hoher Priorität auslösen sollte.

Phase 3: Datendiebstahl (Client-built2.exe & Block1.exe)

Nachdem die Sicherheitsmaßnahmen außer Kraft gesetzt worden waren, setzte die Malware ihre primären Schadfunktionen ein: eine Python-basierte Backdoor für dauerhaften Zugriff und eine Variante des StealC-Infostealers. Im Visier standen Browserdaten, Sitzungstoken und vor allem Kryptowährungs-Wallets aus Chrome, Edge und Brave. Alle gestohlenen Daten wurden über ungesicherten HTTP-Verkehr an zwei Command-and-Control-Server weitergeleitet. Die IOCs des Krypto-Drainers bestätigten Steam als Verbreitungsweg für Malware im Rahmen organisierter Diebstahloperationen.

Vertrauen missbraucht

Gerade ihr vertrauenswürdiges Zertifikat und ihre Nachlässigkeit führten zu Dutzenden von Diebstählen, die sie vertuschen. Dies ist ein klassischer Angriff auf die Lieferkette, bei dem das Vertrauen in die Plattform in großem Stil ausgenutzt wird.

Indikatoren für eine Kompromittierung (IoCs)

Datei Secure Hash Algorithm 256 Klassifizierung
game2.bat aa1a1328e0d0042d071bca13ff9a13116d8f3cf77e6e9769293e2b144c9b73b3 BAT.Trojan-Stealer.StimBlaster.F
launch1.vbs c3404f768f436924e954e48d35c27a9d44c02b7a346096929a1b26a1693b20b3 Script.Malware.BatchRunner.A@ioc
test.vbs b2f84d595e8abf3b7aa744c737cacc2cc34c9afd6e7167e55369161bc5372a9b Script.Malware.BatchRunner.A@ioc
Client-built2.exe 17c3d4c216b2cde74b143bfc2f0c73279f2a007f627e3a764036baf272b4971a Win64.Backdoor.StimBlaster.L6WGC3
Block1.exe 59f80ca5386ed29eda3efb01a92fa31fb7b73168e84456ac06f88fdb4cd82e9e Win32.Trojan-Stealer.StealC.RSZPXF

Die Lüge entlarven: Die Geschichte vom „gehackten Account“ ist völliger Blödsinn

Vertuschung aufgedeckt

Steam lügt und hilft den Opfern, während das Unternehmen die Entwickler überprüft und deren Inhalten das höchste Vertrauenszertifikat verleiht.

Nennen wir Valves Ausrede mit dem „gehackten Entwickler“ doch einfach beim Namen: eine erbärmliche und leicht zu widerlegende Lüge. Das ist eine Beleidigung der Intelligenz ihrer Nutzer – eine Geschichte, die erfunden wurde, um sie vor den Folgen ihrer eigenen Nachlässigkeit zu schützen. Diese ganze Fantasie bricht in sich zusammen, sobald man sich die von Steam selbst vorgeschriebenen Verfahren ansieht.

Die zentrale Täuschung: Manipulation eines digitalen Tatorts

An dieser Stelle geht Valves Vertuschung von einfacher Fahrlässigkeit zu etwas über, das man nur als Manipulation eines digitalen Tatorts. Eines sei ganz klar gesagt: Valve hat das infizierte Spiel nicht entfernt.

Forensische Beweise und Analysen von Sicherheitsforschern, die die C2-Infrastruktur nachverfolgt haben, bestätigen dies eindeutig: Die Kriminellen haben ihre schädlichen Builds selbst von den Steam-Servern gelöscht. Dies geschah am 21. September, erst nachdem ihre Telegram-Kontrollgruppe öffentlich entlarvt worden war. Sie haben einen „Scorched-Earth“-Rückzug vollzogen und dabei die Beweise vernichtet, um ihre Spuren zu verwischen.

Tampering with a digital crime scene - Steam/Valve hand reaching past do not cross tape while PhishDestroy investigates with magnifying glass
Manipulation eines digitalen Tatorts – Eine Hand von Steam/Valve greift über das Absperrband hinweg, während PhishDestroy mit einer Lupe Nachforschungen anstellt

Die Behauptung von Valve, Maßnahmen ergriffen zu haben, ist eine offensichtliche Lüge. Indem Valve abwartete, bis die Angreifer ihre Spuren verwischt hatten, bevor es eingriff und die Store-Seite entfernte, hat das Unternehmen faktisch zugelassen, dass die wichtigsten Beweise vernichtet wurden. Das war keine Schadensbegrenzung, sondern Behinderung der Ermittlungen. Valve hat nicht die Nutzer geschützt, sondern sich selbst, indem es dafür sorgte, dass der Tatort gesäubert wurde.

Die menschlichen Kosten der Gleichgültigkeit von Unternehmen

Die Fahrlässigkeit von Valve hatte konkrete Folgen, für die das Unternehmen keinerlei Verantwortung übernommen hat.

Das Motiv: Profit vor Menschen

Warum sollte Valve so etwas zulassen? Das Motiv ist ebenso einfach wie zynisch: es war billiger.

Eine echte Sicherheitsüberholung – einschließlich der Einführung von Sandbox-Tests für alle Builds, der Trennung von Entwicklerzugangsdaten, der Einstellung eines kompetenten Sicherheitsteams und der Veröffentlichung von Transparenzberichten – würde Millionen kosten. Die Zahlung von Entschädigungen an die Opfer würde einen kostspieligen Präzedenzfall schaffen.

Die Alternative? Eine vage, irreführende Erklärung abgeben, den Nachrichtenzyklus weiterlaufen lassen und den minimalen Imageschaden in Kauf nehmen. Es handelte sich um eine kalkulierte geschäftliche Entscheidung, bei der die Sicherheit der Nutzer als akzeptabler Verlust angesehen wurde.

Dieses Muster der Nachlässigkeit ist nicht neu. Von PirateFi (2024) bis Chemia (2025) hat Valve wiederholt Warnungen ignoriert und Malware auf seiner Plattform zugelassen, um erst nach einem öffentlichen Aufschrei zu handeln. BlockBlasters war kein Einzelfall; es war das unvermeidliche Ergebnis einer maroden Sicherheitskultur.

Endgültiges Urteil: Schuldig im Sinne der Anklage

Lassen wir die Fakten für sich sprechen.

Valve hat nicht nur versagt. Es hat gelogen. Es hat seine eigene Nachlässigkeit vertuscht, seine Gewinne geschützt und den Nutzern die Zeche präsentiert. Das Vertrauen, das die Community in Steam gesetzt hat, ist unwiderruflich zerstört. Das war kein Fehler, sondern ein Verrat.

Quellen

Lesen Sie den vollständigen Bericht auf Medium

Dies ist ein Auszug aus unserer umfassenden, mehrteiligen Untersuchung. Lesen Sie den vollständigen Bericht mit weiteren Belegen, Zeitachsen und Analysen.

Auf Medium weiterlesen →
Zurück zu den Nachrichten
#Steam #Valve #CryptoDrainer #Malware #GamingSecurity

Verwandte Untersuchungen

150+ Fake Mozilla Extensions: One Backend, One Network
UNTERSUCHUNG
Über 150 gefälschte Mozilla-Erweiterungen: ein Backend, ein Netzwerk
$0 Takedowns: How We Disrupt Phishing Infrastructure
UNTERSUCHUNG
Kostenlose Abschaltungen: Wie wir Phishing-Infrastrukturen zerschlagen
NameSilo, Webnic, NiceNic: Registrars Enabling Scams
UNTERSUCHUNG
NameSilo, Webnic, NiceNic: Registrare, die Betrug ermöglichen
Hinweis zur Transparenz. PhishDestroy ist ein nichtkommerzielles, von Freiwilligen getragenes Projekt. Unsere Untersuchungen spiegeln möglicherweise eine gewisse Voreingenommenheit gegenüber Betrugsinfrastrukturen und den Diensten wider, die diese ermöglichen. Wir empfehlen unseren Lesern, alle Informationen kritisch und unabhängig zu bewerten. Lesen Sie unsere vollständige Transparenzerklärung →