FBI sucht Opfer von Steam-Malware-Kampagne – sieben Spiele im Visier
Die US-Bundespolizei hat am 11. März 2026 eine öffentliche Fahndung gestartet:
Wer zwischen Mai 2024 und Januar 2026 eines dieser sieben Steam-Spiele installiert hat, könnte Opfer einer koordinierten Infostealer-Kampagne geworden sein.
Kurz & Knapp
- Das FBI ermittelt gegen einen oder mehrere Täter, die sieben Indie-Games auf Steam mit Malware versehen haben
- Betroffene Titel: BlockBlasters, Chemia, Dashverse/DashFPS, Lampy, Lunara, PirateFi, Tokenova
- Angriffszeitraum: Mai 2024 bis Januar 2026 – alle Titel inzwischen von Steam entfernt
- Gestohlen wurden Browser-Cookies, Discord-Tokens, Steam-Zugangsdaten und Krypto-Wallet-Seeds
- Der berühmteste Fall: $32.000 an Krebsspenden, die während eines Twitch-Streams abgezogen wurden
- Betroffene – auch aus Deutschland und der Schweiz – können das FBI-Formular unter forms.fbi.gov/victims/Steam_Malware ausfüllen
Die Liste der verdächtigen Spiele
Alle sieben infizierten Titel im Überblick
| Spieltitel | Status auf Steam |
|---|---|
| BlockBlasters | Entfernt |
| Chemia | Entfernt |
| Dashverse / DashFPS | Entfernt |
| Lampy | Entfernt (laut Heise zeitweise noch verfügbar gewesen) |
| Lunara | Entfernt |
| PirateFi | Entfernt (Februar 2025) |
| Tokenova | Entfernt |
Das FBI geht davon aus, dass hinter allen sieben Titeln ein einziger Täter oder eine einzelne Gruppe steckt. Die Formulierung im offiziellen Statement ist eindeutig: "the threat actor" – Singular.
Der Trick: Erst sauber, dann verseucht
Wer denkt, solche Spiele seien von Anfang an erkennbar schlecht oder verdächtig, unterschätzt die Methode. Mehrere der betroffenen Titel durchliefen Steams Prüfprozess ohne Beanstandung – weil sie zu diesem Zeitpunkt noch sauber waren. Die Malware kam erst mit einem späteren Update.
Das ist kein Zufall. Wer ein Spiel erst etabliert, eine kleine, echte Nutzerbasis aufbaut und dann per Patch Schadcode nachlädt, umgeht genau jene Hürde, auf die sich Valves Moderation verlässt: die initiale Prüfung des Uploads. Einmal installiert und mit Netzwerkausnahmen versehen – weil das Spiel vor dem Anti-Cheat warnte – kann die Malware nahezu ungestört arbeiten.
Was die Malware tatsächlich stahl
Infostealers dieser Art zielen nicht auf einzelne Dateien, sondern auf digitale Identitäten. Konkret entwendet wurden laut Ermittlern und Sicherheitsforschern:
- Browser-Cookies und gespeicherte Passwörter
- Discord-Session-Tokens (Kontoübernahme ohne Passwort möglich)
- Steam-Zugangsdaten und Trading-Inventar
- Krypto-Wallet-Seeds (Private Keys für Wallets wie MetaMask)
- Geplante Tasks und neue Registry-Einträge zur Persistenz nach Neustarts
Wer glaubt, ohne Krypto-Wallet kein Ziel zu sein: Die gestohlenen Steam-Accounts mit Inventarwert werden auf einschlägigen Marktplätzen direkt weiterverkauft.
BlockBlasters: Der Fall, der alles in Bewegung brachte
Der bekannteste Einzelfall der gesamten Kampagne ist BlockBlasters. Der Twitch-Streamer Raivo Plavnieks (RastalandTV) veranstaltete einen Charity-Stream für Krebsforschung. Während des Streams griff die Malware, die er sich zuvor über BlockBlasters eingefangen hatte, auf seine Krypto-Wallets zu – und transferierte 32.000 US-Dollar in Spendengelder direkt zu den Tätern.
Internet-Recherchen der Community förderten anschliessend Chat-Logs zutage, in denen die Hintermänner kommentierten, RastalandTV würde das Geld "in ein paar Stunden eh wieder einspielen". Das FBI hat Zugriff auf diese Daten.
[BILD: Screenshot des BlockBlasters Steam-Store-Eintrags, archiviert]
Valve schickte E-Mails – und die Community hielt sie für Phishing
Als Valve betroffene Nutzer im März 2026 per E-Mail über die FBI-Ermittlung informierte, passierte etwas bezeichnendes: Auf Reddit häuften sich Posts von Nutzern, die sicher waren, eine Phishing-Mail erhalten zu haben. Eine E-Mail vom FBI? Klingt wie ein klassischer Scam.
Valve sah sich gezwungen, in der Kommunikation explizit zu bestätigen: Die FBI-Website und die E-Mail-Adresse [email protected] sind echt und offiziell autorisiert. Das zeigt, wie sehr das Vertrauen in solche Behördenkommunikation gelitten hat – ein Problem, das die Täter ebenfalls einkalkuliert haben dürften.
Was du jetzt tun solltest
Hast du zwischen Mai 2024 und Januar 2026 eines der genannten Spiele installiert?
1. Formular ausfüllen (freiwillig, vertraulich) Das FBI betreibt unter forms.fbi.gov/victims/Steam_Malware ein offizielles Meldeformular. Identitäten bleiben vertraulich. Das Formular enthält eine Länderauswahl – deutsche und Schweizer Nutzer können und sollen es nutzen. Zusätzlich können Infos an [email protected] gesendet werden.
2. Sicherheitsmassnahmen sofort umsetzen
- Alle Passwörter ändern, die im Browser gespeichert waren
- Steam-Account: Two-Factor-Authentifizierung prüfen, alle aktiven Sessions beenden
- Discord: Alle verknüpften Apps entziehen, Passwort neu setzen
- Krypto-Wallets: Bei Verdacht neue Wallet-Adressen erstellen, alte Seeds als kompromittiert betrachten
- Antivirusscan durchführen; bei echtem Verdacht: Windows-Neuinstallation
3. Beweise sichern, bevor du löschst Das FBI bittet ausdrücklich darum: Spieltitel, Installationspfad, Zeitstempel, Sicherheitswarnungen und – falls vorhanden – Screenshots von Kommunikation mit Personen, die das Spiel empfohlen haben. Auch Benutzernamen potenzieller Täter sind für die Ermittlung relevant.
Das strukturelle Problem hinter dem Einzelfall
Valve hat in der Vergangenheit reagiert, sobald Meldungen über infizierte Titel eingingen. PirateFi flog im Februar 2025 raus, andere folgten. Die Plattform empfahl Betroffenen damals, einen vollständigen Antivirusscan durchzuführen und im Zweifel das Betriebssystem neu zu installieren.
Das Problem: Steam veröffentlicht jährlich Tausende neue Titel. Die Einreichungsgebühr von 100 US-Dollar ist keine echte Einstiegshürde. Sicherheitsforscher fordern seit Jahren dynamisches Sandboxing von Builds, stärkere Code-Signing-Anforderungen und automatisiertes Reputationsscoring für Entwickler-Accounts. Bisher fehlt von Valve eine öffentliche Stellungnahme zu den Forderungen – auf Anfragen von TechCrunch gab das Unternehmen keinen Kommentar ab.
Steam hat aktuell genug andere Baustellen: laufende Klagen wegen Loot-Boxen in Dota 2 und Team Fortress 2, eine britische Klage wegen Urheberrechtsverstössen und den anstehenden Launch der Steam Machine – Valves Versuch, sich als Wohnzimmer-Plattform neu zu positionieren.
Hast du eines der sieben Spiele installiert gehabt – und wenn ja, hast du damals etwas Verdächtiges bemerkt?