BeamNG.drive hat sich als eine der vielfältigsten und realistischsten Fahrsimulationen auf dem Markt etabliert. Mit einer aktiven Community, die unzählige Mods und Erweiterungen entwickelt, bietet das Spiel eine nahezu unbegrenzte Vielfalt. Doch jüngst wurde ein schwerwiegendes Sicherheitsproblem aufgedeckt, das die gesamte Modding-Community erschüttert: In einer beliebten Mod namens American Road wurde eine versteckte Malware entdeckt, die die persönlichen Daten der Spieler kompromittieren kann. Diese Entdeckung wirft nicht nur Fragen zur Sicherheit von Mod-Inhalten auf, sondern zeigt auch die Schattenseite der Modding-Kultur, die häufig unkontrolliert bleibt und ein Einfallstor für Cyberkriminelle bietet.
Die Geschichte beginnt mit einem überraschenden Alarm des Virenschutzprogramms während des Spiels. Beim Start von BeamNG.drive erschien eine ungewöhnliche Meldung, die auf die Ausführung eines Prozesses namens curl.exe hinwies. Curl ist ein legitimes Tool für Datentransfers, doch in diesem Kontext versuchte es, eine Verbindung zu einer als bösartig bekannten Domain herzustellen.
Erste Zweifel daran, ob dieser Vorgang mit dem Spiel selbst zusammenhängt, führten zu einer detaillierten Untersuchung. Mithilfe von Tools wie Process Monitor und dem Debugger WinDbg konnte der Ursprung des Befehls zurückverfolgt werden – und zwar zu einer im Spiel laufenden Funktion, die über WinExec einen Shellbefehl ausführt. Besonders auffällig war, dass der Befehl durch den Chromium Embedded Framework (CEF) ausgeführt wurde, der für die UI-Darstellung in BeamNG.drive zuständig ist. Eine Sicherheitslücke im Chromium-Teil des Spiels ermöglichte es der Schadsoftware, in den Speicherbereich einzudringen und dort eigenen Code auszuführen.
Die wesentliche Frage war, ob die Malware vom Spiel selbst oder von einer Mod stammte. Die Analyse zeigte, dass das Problem beim Öffnen des In-Game Mod-Managers auftrat, und dass Deaktivieren aller Mods die verdächtigen Aktivitäten stoppte. Damit lag der Fokus klar auf den installierten Modifikationen, insbesondere auf jenen, die in den letzten zwei Monaten hinzugefügt oder aktualisiert wurden. Bei der Suche nach dem Übeltäter half vor allem das schrittweise Aktivieren der einzelnen Mods. Schnell stellte sich heraus, dass das Problem mit der Mod American Road zusammenhing.
Ein genauerer Blick in die Dateistruktur des Mods offenbarte den sogenannten Dropper, der als Einstiegspunkt für die Schadsoftware fungiert. Überraschend war, dass ein scheinbar harmloses JavaScript namens american_road_patreon_banner.js erkannt wurde, das offenkundig eine Patreon-Werbung darstellen sollte. Doch dieses Skript führte einen verschleierten Lade- und Entschlüsselungsmechanismus aus, der den Inhalt einer „banner.c_css“-Datei als XOR-verschlüsselten Text lädt und diese beispielsweise mit der Zeichenkette „css“ entschlüsselt.
Anschließend wurde der entschlüsselte Inhalt auf eine Art und Weise ausgeführt, die dem eval-Kommando ähnelt, jedoch tarnt sich die Funktion durch den Umweg über [].constructor.constructor. Die Verwendung von eval oder ähnlichen Techniken in JavaScript ist für sich genommen bereits ein großer Sicherheitsrisiko, insbesondere in einem Abo- oder Fanprojekt wie einem Spiel-Mod. Hier lässt sich die Funktion als Hintertür interpretieren, die den Weg für weitere Angriffe ebnet.
Die Entdeckung ging jedoch tiefer, als der Dropper auf eine ältere Schwachstelle in der JavaScript-Engine V8 von Chromium verwies. Mittels WebAssembly wurde eine Sicherheitslücke (CVE-2019-5825) ausgenutzt. Die Schwachstelle erlaubte es Angreifern, außerhalb der Begrenzungen von Speicherpuffern in den ausführbaren Speicher zu schreiben. Dies ermöglichte das Einfügen und Ausführen von sogenanntem Shellcode direkt im Speicher des Spiels, quasi als Teil der Benutzeroberfläche. Durch die wysiwyg-Methode konnte der Angreifer schließlich die Ausführung eines Curl-Kommandos erzwingen, das eine Schad-DLL herunterlud und auf dem Zielsystem ausführte.
Das eigentliche Schadprogramm ist ein Infostealer, der Passwörter verschiedener Browser sowie der Exodus-Krypto-Wallet ausspioniert. Die Auswirkungen sind dramatisch: Bereits über 3.500 Downloads des infizierten Mods wurden dokumentiert, sodass potenziell tausende Nutzer kompromittiert wurden. Der Schadcode legt Dateien im temporären Verzeichnis ab und simuliert den Download und das Ausführen der DLL als temporäre Dateien mit Namen wie tmp6FC15.tmp und tmp6FC15.
dll, was es für herkömmliche Benutzer schwer macht, die Manipulation zu erkennen. Die Reaktion auf diesen Fund war schnell und präzise. Der Entwickler des BeamNG-Teams wurde informiert, und die infizierte Mod-Version wurde wenige Tage später von der offiziellen Plattform entfernt. Der Account des Mod-Erstellers wurde gesperrt, was darauf hindeutet, dass das Konto möglicherweise von Angreifern übernommen wurde. Parallel dazu wurde empfohlen, die Mod umgehend zu deinstallieren und den Computer gründlich zu scannen, selbst wenn ein Antivirenprogramm schon Alarm schlug.
Angesichts der Art des Schadens sind auch Passwortänderungen dringend angeraten. Interessanterweise nutzte BeamNG.drive damals noch eine veraltete Version des Chromium Embedded Frameworks, das die genannte Sicherheitslücke beinhaltete. Schon in der Version 0.35 des Spiels wurde das CEF-Framework aktualisiert, wodurch die Exploits dieser Art weitestgehend geschlossen wurden.
Allerdings ist fraglich, wie viele Nutzer noch ältere Spielversionen mit dem Risiko einer Verwundbarkeit im Einsatz haben. Ein weiteres Sicherheitsrisiko stammt aus dem Verzicht auf die Sandbox-Option, die BeamNG.drive für seine Prozesse deaktiviert, was bei Schadsoftware wie dieser die Ausnutzung erleichtert. Die Erkenntnisse aus diesem Vorfall sind für die Spieler-Community, Entwickler und Modder gleichermaßen von großer Bedeutung. Einerseits zeigt sich, dass auch Spiele und deren Erweiterungen zunehmend Ziel von komplexen Cyberangriffen werden.
Andererseits ist vorsichtiges und reflektiertes Handeln bei der Nutzung von Mods unerlässlich. Spieler sollten stets nur Mods aus verifizierten und vertrauenswürdigen Quellen herunterladen, Updates kritisch überprüfen und regelmäßige Sicherheitsüberprüfungen ihres Systems vornehmen. Für Entwickler wäre es sinnvoll, Schutzmechanismen in die Spiel-APIs und Mod-Schnittstellen zu integrieren, um unautorisierten Code zu unterbinden. Auch macht dieser Fall deutlich, wie wichtig ein aktueller Stand der Softwarekomponenten ist, denn oft liegen schon Jahre alte Sicherheitsupdates bereit, die jedoch durch fehlende Aktualisierungen nicht genutzt werden. Die Nutzung einer Sandbox und der Verzicht auf Legacy-Funktionen wie WinExec könnten entscheidend sein, um solche Angriffe präventiv zu verhindern.
