Stealerium schlägt zurück: Open-Source Malware bedroht Bankdaten
Proofpoint
Laut Proofpoint nutzen die Angreifer unterschiedlichste Köder: darunter fingierte Zahlungsaufforderungen, Gerichtsvorladungen, Spendenquittungen – und das Thema Hochzeit. In den Betreffzeilen werde meist auf eine vermeintliche Dringlichkeit bzw. finanzielle Relevanz verwiesen. Technisch seien komprimierte EXE-Dateien, JavaScript- und VBScript-Dateien, ISO- und IMG-Images sowie ACE-Archive zum Einsatz gekommen. Beispiele seien eine TA2715-Kampagne vom 5. Mai 2025 mit einer mutmaßlichen Angebotsanfrage einer kanadischen Wohltätigkeitsorganisation oder eine „Xerox Scan“-Mail.
Funktionsweise und Spionagefähigkeiten
Nach der Ausführung sammele Stealerium zunächst WLAN-Profile und Informationen zu nahegelegenen Netzwerken, teils ergänzt durch PowerShell-Befehle zur Manipulation von Windows Defender und geplanten Tasks, um sich dauerhaft im System festzusetzen. Manche Varianten würden die Remote-Debugging-Funktion von Chrome missbrauchen, um Browser-Sicherheitsmechanismen zu umgehen und sensible Daten wie Cookies oder Passwörter zu stehlen.
Stealerium sei in .NET geschrieben und verfüge über umfangreiche Datendiebstahl-Funktionen. Die Exfiltration erfolge über verschiedene Wege: am häufigsten per SMTP, daneben über Discord-Webhooks, die Telegram-API, den Filehosting-Dienst Gofile und die Chat-Plattform Zulip. Kostenlose Cloud-Dienste wie Gofile würden den unauffälligen Abfluss großer Datenmengen erleichtern. Zulip sei in den untersuchten Kampagnen zwar nicht aktiv genutzt worden, sei aber als Option vorhanden.
Stealerium sei hochgradig konfigurierbar. Die Konfiguration enthalte C2- und Exfiltrationsparameter sowie Listen mit Diensten, etwa bestimmter Banken. Teile seien per AES verschlüsselt. Die Malware nutze zahlreiche Anti-Analyse-Techniken: Startverzögerungen, Abgleich von Systemparametern mit Blocklisten, Erkennung bestimmter Prozesse und Dienste, Anti-Emulation und Selbstlöschung bei Verdacht. Bemerkenswert sei die Fähigkeit, aktuelle Blocklisten dynamisch aus öffentlichen GitHub-Repositories nachzuladen.
Überlappung mit Phantom Stealer
Phantom Stealer habe große Teile des Codes mit Stealerium gemeinsam und unterscheide sich vor allem in der Art der Datenübertragung. Manche Samples würden Verweise auf beide Namen enthalten, was auf Code-Recycling hindeute. Auch Warp Stealer weise deutliche Überschneidungen auf. Proofpoint behandele diese Familien als Varianten derselben Bedrohung, solange keine wesentlichen funktionalen Unterschiede bestehen.
Die Aktivitäten zwischen Mai und Juli 2025 zeigen laut dem Unternehmen, dass Stealerium und seine Varianten weiterhin aktiv in Angriffen eingesetzt werden. Die Kombination aus offenem Quellcode, breiter Funktionspalette und flexiblen Exfiltrationswegen mache sie zu einer ernstzunehmenden Bedrohung. Organisationen sollten auf verdächtige Systembefehle, ungewöhnliche PowerShell-Nutzung zur Manipulation von Defender-Einstellungen und „headless“ Chrome-Prozesse achten. Ebenso sei es ratsam, ausgehenden Datenverkehr zu überwachen und Verbindungen zu nicht autorisierten Diensten wie Discord, Telegram oder Gofile zu blockieren. Laut Proofpoint (Website) lässt sich das Risiko durch die Schadsoftware nur durch technische Erkennung, Netzwerküberwachung und Sensibilisieren der Mitarbeiter wirksam senken.ft
Sie finden diesen Artikel im Internet auf der Website:
https://itfm.link/232333
Schreiben Sie einen Kommentar