Editorial mirrorBrand mentions redacted to public IDs. Hover to inspect. Everything else is theatre.How it works
THE ENABLERS REGISTRYRegistrar accountability archive
Archive LiveRead-only public record · No ads · No tracking
Case file folder with redacted documents and confidential investigation report.
CASE / DE / STEAM NOT GOOD GUY

„BlockBlasters“-Malware auf [REDACTED]: Nachlässigkeit der Plattform aufgedeckt

The Enablers Registry·Editorial mirror·/de/steam-not-good-guy

Public record copy. Brand names withheld, public accreditation numbers preserved. If the body below says “we”, that means the original publisher, not this mirror. TER only preserves, redacts, and re-contextualizes.

Untersuchung zu „[REDACTED] Not Good Guy“

Gewinn vor Spielern: Die Vertuschung bei „BlockBlasters“ ([REDACTED]-Skandale, Teil 1)

Wir starten eine mehrteilige Recherche, die die verborgene Wahrheit über [REDACTED] aufdeckt und die Korruption hinter dessen Geschäftspraktiken, den systematischen Missbrauch, die Ausbeutung und die Fahrlässigkeit, unter denen Millionen von Nutzern gelitten haben, offenlegt sowie aufzeigt, wie ein globales Monopol eine Gaming-Plattform in eine Maschine der Manipulation und des stillen Profits verwandelt hat.

Untersuchung zu „BlockBlasters“ auf [REDACTED] – Profit geht vor Spielern

Kritischer Befund

[REDACTED] lügt unverhohlen, deckt Kriminelle und behindert die Ermittlungen.

Einleitung: Ein Verbrechen aus kalkulierter Fahrlässigkeit

Im August 2025 wurde die weltweit größte Gaming-Plattform, [REDACTED], nicht nur Opfer einer Sicherheitslücke, sondern hat diese sogar aktiv ermöglicht. Durch eine Kette von systemischen Versäumnissen und grober Fahrlässigkeit hat Valve dem Spiel BlockBlasters (AppID 3872350) wurde zum Trojaner für eine verheerende Malware-Kampagne. Dabei handelte es sich nicht um einen ausgeklügelten, unvermeidbaren Angriff. Es war eine klassische Operation zum Datendiebstahl, die nur deshalb erfolgreich war, weil die Sicherheit von [REDACTED] grundlegend mangelhaft ist. 22 Tage lang wurden Hunderttausende Dollar gestohlen, Krypto-Wallets geleert und Benutzerkonten kompromittiert, während Valve tatenlos zusah.

Als die Wahrheit ans Licht kam, bestand Valves Reaktion nicht darin, seine Nutzer zu schützen, sondern sein Image zu wahren. Das Unternehmen veröffentlichte eine einzige, irreführende Erklärung, in der es die Schuld auf ein „kompromittiertes Entwicklerkonto“ schob – eine erbärmliche Lüge, die darauf abzielte, die Schuld abzuwälzen und sich vor der Haftung zu schützen. Dieser Artikel wird diese Lüge entlarven. Anhand forensischer Daten, einer Zeitachsenanalyse und Valves eigener Richtlinien werden wir nachweisen, dass es sich bei diesem Vorfall nicht nur um eine Unterlassung handelte, sondern um eine absichtliche Vertuschung von grob fahrlässigem Verhalten.

Zeitachse der Unternehmensfahrlässigkeit: Tag 1 – Veröffentlichung der Malware, Tag 3 – erste Meldungen, Tag 3 – mehrere Warnsignale, Tag 10 – keine Maßnahmen, obwohl 1.489.500 Opfer betroffen waren, Tag 22 – endlich entfernt
Zeitachse der Unternehmensfahrlässigkeit: Tag 1 – Veröffentlichung der Malware, Tag 3 – erste Meldungen, Tag 3 – mehrere Warnsignale, Tag 10 – keine Maßnahmen, obwohl 1.489.500 Opfer betroffen waren, Tag 22 – endlich entfernt

Enthüllte Identität

[REDACTED] lügt unverhohlen und verschweigt, dass Valentin Lopes der verifizierte Entwickler hinter der schädlichen Anwendung ist.

Der 22-tägige Zeitplan der Untätigkeit

Valve hatte 22 Tage Zeit, dies zu unterbinden. Es gingen zahlreiche Nutzerberichte ein, und die Plattformdaten zeigten deutliche Anzeichen für Probleme. Ihr Schweigen war eine bewusste Entscheidung.

31. Juli 2025

„BlockBlasters“ wird veröffentlicht. Eine einwandfreie, legitime Version wird im Rahmen des [REDACTED]-Prüfungsverfahrens genehmigt.

30. August 2025

Die Falle ist gestellt. Die Angreifer veröffentlichen den Patch-Build 19799326. Dieses Update, das die Schadsoftware enthält, wird von [REDACTED] genehmigt und an alle Spieler verteilt.

Anfang September 2025

Die ersten Opfer schlagen Alarm. Die Nutzer überschütten den [REDACTED]-Support mit Tickets, in denen sie von ungewöhnlicher CPU-Auslastung, verdächtigem Netzwerkverkehr und – was am schwerwiegendsten ist – gestohlener Kryptowährung berichten. Diese Tickets verschwinden in einem schwarzen Loch und werden von Valve ignoriert.

6. September 2025

Die Daten schreien geradezu nach einer Warnung. Öffentliche Telemetriedaten von SteamDB zeigen, dass die Spielerzahlen auf einstellige Werte eingebrochen sind, doch das Spiel ist weiterhin auf Hunderten von Rechnern installiert und leitet still und leise Daten ab. Diese massive Diskrepanz ist ein Alarmsignal, das jedes kompetente Überwachungssystem hätte erkennen müssen.

21. September 2025

Die Community schreitet ein. Unabhängige Sicherheitsforscher decken die auf [REDACTED] basierende Command-and-Control-Infrastruktur der Malware auf und zwingen die Hacker damit zum Handeln.

22. September 2025

Die [REDACTED] veröffentlicht einen umfassenden forensischen Bericht, der den mehrstufigen Angriffsvektor der Malware bestätigt und die technischen Details des Angriffs aufdeckt.

Die Anatomie des Angriffs

Das war keine hochentwickelte Malware. Es handelte sich um eine primitive, aber wirksame Mischung aus gängigen Skripten und Stealern, deren Erkennung für eine milliardenschwere Plattform eigentlich ein Kinderspiel hätte sein müssen.

Phase 1: Erstinfektion (game2.bat)

Die ursprüngliche Nutzlast, ein einfaches Batch-Skript, führte grundlegende Erkundungsmaßnahmen durch: Es sammelte IP-Adressen, Geolokalisierungsdaten und [REDACTED]-Benutzerdaten. Anschließend lud es eine passwortgeschützte ZIP-Datei (v1.zip) herunter – eine klassische Technik, um naive automatisierte Scanner zu umgehen.

Phase 2: Umgehung und Eskalation (VBS-Loader)

Mithilfe von VBS-Skripten führte die Malware ihre Kernkomponenten in versteckten Befehlsfenstern aus. Sie fügte ihr eigenes Verzeichnis zur Ausschlussliste von Microsoft Defender hinzu – eine Aktion, die auf jedem überwachten System eine sofortige Warnmeldung mit hoher Priorität auslösen sollte.

Phase 3: Datendiebstahl (Client-built2.exe & Block1.exe)

Nachdem die Sicherheitsmaßnahmen außer Kraft gesetzt worden waren, setzte die Malware ihre primären Payloads ein: eine Python-basierte Backdoor für dauerhaften Zugriff und eine Variante des Infostealers „StealC“. Sie zielte auf Browserdaten, Sitzungstoken und vor allem auf Kryptowährungs-Wallets in Chrome, Edge und Brave ab. Alle gestohlenen Daten wurden über ungesicherten HTTP-Verkehr an zwei Command-and-Control-Server weitergeleitet. Die IOCs des Krypto-Drainers bestätigten [REDACTED] als Verbreitungsvektor für Malware im Rahmen organisierter Diebstahloperationen.

Vertrauen missbraucht

Gerade ihr vertrauenswürdiges Zertifikat und ihre Nachlässigkeit führten zu Dutzenden von Diebstählen, die sie vertuschen. Dies ist ein klassischer Angriff auf die Lieferkette, bei dem das Vertrauen in die Plattform in großem Maßstab ausgenutzt wird.

Indikatoren für eine Kompromittierung (IOC)

DateiSHA256Klassifizierung
game2.bat aa1a1328e0d0042d071bca13ff9a13116d8f3cf77e6e9769293e2b144c9b73b3 BAT.Trojan-Stealer.StimBlaster.F
launch1.vbs c3404f768f436924e954e48d35c27a9d44c02b7a346096929a1b26a1693b20b3 Script.Malware.BatchRunner.A@IOC
test.vbs b2f84d595e8abf3b7aa744c737cacc2cc34c9afd6e7167e55369161bc5372a9b Script.Malware.BatchRunner.A@IOC
Client-built2.exe 17c3d4c216b2cde74b143bfc2f0c73279f2a007f627e3a764036baf272b4971a Win64.Backdoor.StimBlaster.L6WGC3
Block1.exe59f80ca5386ed29eda3efb01a92fa31fb7b73168e84456ac06f88fdb4cd82e9eWin32.Trojan-Stealer.StealC.RSZPXF

Die Lüge entlarven: Die Geschichte vom „gehackten Account“ ist völliger Blödsinn

Vertuschung aufgedeckt

[REDACTED] lügt und hilft den Opfern, während das Unternehmen die Entwickler überprüft und deren Inhalten das höchste Vertrauenszertifikat verleiht.

Nennen wir Valves Ausrede mit dem „gehackten Entwickler“ doch einfach beim Namen: eine erbärmliche und leicht zu widerlegende Lüge. Das ist eine Beleidigung der Intelligenz ihrer Nutzer – eine Geschichte, die erfunden wurde, um sie vor den Folgen ihrer eigenen Nachlässigkeit zu schützen. Diese ganze Fantasie bricht in sich zusammen, sobald man sich die von [REDACTED] selbst vorgeschriebenen Verfahren ansieht.

  • Die 100-Dollar-Grenze und die Identitätsprüfung: Um auf [REDACTED] veröffentlichen zu können, muss jeder Entwickler das [REDACTED]-Direct-Programm durchlaufen. Dazu gehört die Zahlung einer Gebühr von 100 US-Dollar sowie die Durchführung eines „Know-Your-Customer“-Verfahrens (KYC), bei dem der rechtliche Name, Bankdaten und Steuerunterlagen anzugeben sind. Der Täter war kein anonymer Geist; Valve hatte seine verifizierte Identität und seine Finanzdaten in den Akten. Dies macht die Untätigkeit des Unternehmens zu einer bewussten Entscheidung, einen verifizierten Partner gegenüber den eigenen Nutzern zu schützen.
  • Der Mythos vom 22-tägigen Stromausfall: Steamworks stellt Entwicklern zuverlässige Tools zur Sicherung ihrer Konten zur Verfügung. Ein legitimer Entwickler, der die Kontrolle verloren hat, könnte ein Ticket mit dem Betreff „Verlust des Zugriffs auf Publisher-Zugangsdaten“ einreichen. Dieser Prozess ist auf Schnelligkeit ausgelegt und sperrt Veröffentlichungsrechte und Builds innerhalb von Stunden, nicht Wochen. Die Vorstellung, dass ein Entwickler über 20 Tage lang ausgesperrt sein könnte, während sein Spiel Malware verbreitet, ist absurd. Dies lässt eines von zwei Szenarien vermuten, die beide gegen Valve sprechen: Entweder war der Entwickler mitschuldig, oder Valve hat seine verzweifelten Support-Tickets sowie die Dutzenden von Nutzerbeschwerden ignoriert.
  • Systematische Missachtung von Nutzerbeschwerden: Dutzende Nutzer reichten detaillierte Meldungen über Finanzdiebstahl, Malware-Aktivitäten und Kontoübernahmen ein. Dabei handelte es sich nicht um vage Beschwerden, sondern um verwertbare Informationen. Ein kompetentes Support-System hätte diese Meldungen gekennzeichnet, das Problem eskaliert und die App-Seite bis zum Abschluss der Untersuchung innerhalb von 24 Stunden gesperrt. Dass Valve dies 22 Tage lang versäumt hat, ist kein Versehen, sondern eine Politik der vorsätzlichen Ignoranz.

Die zentrale Täuschung: Manipulation eines digitalen Tatorts

An dieser Stelle entwickelt sich Valves Vertuschung von einfacher Fahrlässigkeit zu etwas, das man nur als Manipulation eines digitalen Tatorts. Um es ganz klar zu sagen: Valve hat das infizierte Spiel nicht entfernt.

Forensische Beweise und Analysen von Sicherheitsforschern, die die C2-Infrastruktur nachverfolgt haben, bestätigen dies eindeutig: Die Kriminellen haben ihre schädlichen Builds selbst von den [REDACTED]-Servern gelöscht. Dies geschah am 21. September, erst nachdem ihre [REDACTED]-Kontrollgruppe öffentlich entlarvt worden war. Sie führten einen Rückzug nach dem Prinzip der „verbrannten Erde“ durch und vernichteten die Beweise, um ihre Spuren zu verwischen.

Manipulation eines digitalen Tatorts – Die Hand von [REDACTED]/Valve greift über das „Nicht überschreiten“-Band hinweg, während THE ENABLERS REGISTRY mit einer Lupe Ermittlungen durchführt
Manipulation eines digitalen Tatorts – Die Hand von [REDACTED]/Valve greift über das „Nicht überschreiten“-Band hinweg, während THE ENABLERS REGISTRY mit einer Lupe Ermittlungen durchführt

Die Behauptung von Valve, Maßnahmen ergriffen zu haben, ist eine eklatante Lüge. Indem Valve abwartete, bis die Angreifer ihre Spuren verwischt hatten, bevor es eingriff und die Store-Seite entfernte, hat das Unternehmen faktisch zugelassen, dass die wichtigsten Beweise vernichtet wurden. Das war keine Schadensbegrenzung, sondern Behinderung der Ermittlungen. Valve hat nicht die Nutzer geschützt, sondern sich selbst, indem es dafür sorgte, dass der Tatort „gesäubert“ wurde.

Die menschlichen Kosten der Gleichgültigkeit von Unternehmen

Die Fahrlässigkeit von Valve hatte konkrete Folgen, für die das Unternehmen keinerlei Verantwortung übernommen hat.

  • Finanzieller Ruin: Über 150.000 US-Dollar wurden gestohlen (es sieht so aus, als wären es mehr als 1.000.000 US-Dollar). Für viele war dies eine Summe, die ihr Leben grundlegend verändert hat. Ein Streamer verlor während einer Live-Spendenaktion für eine Krebsbehandlung 32.000 US-Dollar.
  • Vertrauensbruch: Bei Hunderten von Nutzern wurden die Konten gehackt, ihre Daten gestohlen und ihre Systeme infiziert.
  • Absolute Stille: Bis heute hat Valve weder Rückerstattungen noch Entschädigungen angeboten, noch sich aufrichtig entschuldigt. Ihre Standardantwort war eine Beleidigung für jedes einzelne Opfer.

Das Motiv: Profit vor Menschen

Warum sollte Valve so etwas zulassen? Das Motiv ist ebenso einfach wie zynisch: Es war billiger.

Eine echte Sicherheitsüberarbeitung – die Einführung von Sandbox-Tests für alle Builds, die Trennung der Anmeldedaten der Entwickler, die Einstellung eines kompetenten Sicherheitsteams und die Veröffentlichung von Transparenzberichten – würde Millionen kosten. Die Zahlung von Entschädigungen an die Opfer würde einen kostspieligen Präzedenzfall schaffen.

Die Alternative? Eine vage, irreführende Erklärung abgeben, den Nachrichtenzyklus weiterlaufen lassen und den minimalen Imageschaden hinnehmen. Es handelte sich um eine kalkulierte geschäftliche Entscheidung, bei der die Sicherheit der Nutzer als akzeptabler Verlust angesehen wurde.

Dieses Muster der Nachlässigkeit ist nicht neu. Von PirateFi (2024) bis hin zu Chemia (2025) hat Valve wiederholt Warnungen ignoriert und Malware auf seiner Plattform zugelassen, um erst nach einem öffentlichen Aufschrei Maßnahmen zu ergreifen. BlockBlasters war kein Einzelfall, sondern das unvermeidliche Ergebnis einer maroden Sicherheitskultur.

Endgültiges Urteil: Schuldig im Sinne der Anklage

Lassen wir die Fakten für sich sprechen.

  • Fakt: Die automatisierten Systeme von Valve haben einen Build freigegeben, der harmlose Malware enthielt.
  • Fakt: Das Support-Team von Valve ignorierte drei Wochen lang direkte Warnungen der Betroffenen.
  • Fakt: Valve hat erst gehandelt, nachdem die Hacker die schädlichen Dateien selbst entfernt hatten.
  • Fakt: Die offizielle Stellungnahme von Valve war eine absichtliche Falschdarstellung der Ereignisse, die darauf abzielte, sich der Verantwortung zu entziehen.

Valve hat nicht nur versagt. Es hat gelogen. Es hat seine eigene Nachlässigkeit vertuscht, seine Gewinne geschützt und den Nutzern die Zeche präsentiert. Das Vertrauen, das die Community in [REDACTED] gesetzt hat, ist unwiderruflich zerstört. Das war kein Fehler, sondern ein Verrat.

Continue browsing the ledger

This page is the editorial mirror. Brand names are redacted to public IANA / business identifiers. Use the index to navigate other case files.

Open registrar ledger → All briefings