Heute ist der 26.06.2026 und die Welt der Cyberkriminalität hat einmal mehr ein neues Kapitel aufgeschlagen. Sicherheitsforscher haben die Malware LoaderClient ins Visier genommen, die für ihre bösartigen Aktivitäten Ethereum-Smart-Contracts nutzt. Klingt nach Science-Fiction, ist aber ganz real. Die Malware ist seit Anfang 2026 aktiv und hat bereits über 116.000 Systeme weltweit kompromittiert. Das ist keine Kleinigkeit! Die Angreifer verwenden eine Technik namens EtherHiding, um ihr WeedHack-Command-and-Control-Netzwerk (C2) unauffällig zu betreiben. Dies geschieht über einen Ethereum-Smart-Contract mit der Adresse 0x1280a841Fbc1F883365d3C83122260E0b2995B74, der als dezentraler Speicher für die C2-Konfigurationen dient. Man fragt sich, wie weit die Fantasie der Cyberkriminellen reicht!

Herkömmliche Sicherheitsmaßnahmen scheinen gegen diese Innovationen kaum eine Chance zu haben. Der häufigste Einstiegspunkt für die Malware ist ein manipuliertes Minecraft-Mod. Das klingt jetzt vielleicht harmlos, aber die Folgen sind es nicht. Die LoaderClient-Malware zielt auf sensible Nutzerdaten ab. Dazu zählen Sitzungs-Credentials und OAuth-Tokens – und das alles ganz heimlich. Sie lädt eine zweite, dateilose Schadkomponente nach, die im Arbeitsspeicher operiert und damit klassischen Virenscannern geschickt ausweicht. Man könnte sagen, die Malware hat sich eine Art „unsichtbaren Umhang“ zugelegt, um unentdeckt zu bleiben.

Die kreative Tarnung der Angreifer

Und wie funktionieren diese Angriffe genau? Nun, LoaderClient tarnt sich als Fabric Mod JAR und aktiviert sich beim Start von Minecraft. Das ist eine raffinierte Strategie – die Gamer sind meist unverdächtig und die Mods werden oft blind installiert. Die Malware erntet dann Informationen wie Anzeigenamen, Account UUID und Microsoft OAuth-Zugriffstoken, um diese an den WeedHack Stealer weiterzugeben. Es ist einfach schockierend, wie viele Spieler unwissentlich zur Verbreitung dieser Malware beitragen.

Die Kampagne, die hinter LoaderClient steckt, hat sich von einem anfänglichen Credential Stealer namens Majanito zu einer voll ausgeklügelten Malware-as-a-Service-Plattform entwickelt. Bis Juni 2026 wurden täglich zwischen 2.000 und 3.000 neue Infektionen gemeldet! Und das ist noch nicht alles: Die Infrastruktur hat sich so weit entwickelt, dass die C2-URL rotiert, ohne dass die Payloads neu kompiliert oder verteilt werden müssen. Das lässt einen fast sprachlos zurück.

Ein Wettlauf gegen die Zeit

Zusätzlich zur LoaderClient-Malware warnte Microsoft vor der „Crypto Clipper“-Malware CryptoBandits.A, die sich über USB-Sticks verbreitet und Wallet-Adressen überwacht. Angreifer haben kürzlich auch 3,2 Millionen Dollar aus Safe-Wallets auf Ethereum und Base erbeutet, und das alles durch eine Schwachstelle in einer Routing-Modul-Funktion. Man fragt sich, wie viele weitere Exploits im Verborgenen lauern.

Werbung
Hier könnte Ihr Advertorial stehen
Ein Advertorial bietet Unternehmen die Möglichkeit, ihre Botschaft direkt im redaktionellen Umfeld zu platzieren

Es gibt jedoch auch Lichtblicke im Dunkel der Cyberkriminalität. Die Operation Endgame, ein koordinierter Schlag von Europol, Eurojust, FBI und Microsoft, hat zwischen dem 15. und 19. Juni 2026 ganze 326 Server und 142 Domains demontiert. Das bedeutet, dass Rund 41 Millionen Euro (47 Millionen US-Dollar) in Kryptowährungen eingefroren wurden und 27 Millionen gestohlene Zugangsdaten von über 385.000 Systemen gesichert werden konnten. Fast 15.000 kompromittierte Websites wurden ebenfalls bereinigt. Das ist ein kleiner Sieg in einem groß angelegten Kampf!

Die Malware-Landschaft zeigt wirklich eine Innovationswelle bei Verschleierungstechniken. Die Mistic-Backdoor nutzt DLL-Sideloading über eine Microsoft-Defender-Datei und besteht zu 95% aus nutzlosem Code. Gaslight-Malware, programmiert in Rust, enthält 38 gefälschte Systemfehlermeldungen zur Verwirrung von KI-Analyse-Tools. Wenn man sich diese Entwicklungen ansieht, wird einem klar, dass diese kriminellen Strategien immer ausgeklügelter werden.

Die Erkennung solcher Bedrohungen ist nicht einfach. Sicherheits-Teams müssen unsignierte Minecraft Mods, Mod-Pack-Downloads von inoffiziellen Quellen und Mod-Installer mit Konto-Berechtigungsanfragen als hochriskant einstufen. Ein abnormaler Ethereum RPC-Verkehr, der von nicht-Blockchain-Software erzeugt wird, könnte ein wichtiger Indikator für Kompromittierungen sein. Es bleibt abzuwarten, wie die Sicherheitsgemeinschaft auf diese neuen Herausforderungen reagieren wird.