Thought Leadership
Ein neuer, besonders raffinierter Information Stealer sorgt derzeit fĂĽr erhebliche Besorgnis in der IT-Sicherheitsbranche.
Die Malware mit dem Namen Amatera Stealer stellt eine Weiterentwicklung des bereits bekannten ACR Stealers dar und zeigt eindrucksvoll, wie ausgeklügelt und professionell Cyberkriminalität im Zeitalter von Malware-as-a-Service (MaaS) betrieben wird. Sicherheitsforscher des Unternehmens Proofpoint haben jüngst detaillierte Erkenntnisse zu diesem Schädling veröffentlicht.
Neue Dimension der Tarnung und Umgehung
Amatera setzt auf eine hochentwickelte Infektionskette, die klassische Schutzmechanismen gezielt unterläuft. Anders als viele herkömmliche Malware-Varianten nutzt Amatera keine offensichtlichen Systemaufrufe oder Netzwerkprotokolle. Stattdessen erfolgt die Kommunikation mit den Command-and-Control-Servern über tiefere Systemkomponenten, was viele Sicherheitslösungen auf Endpoint-Ebene wirkungslos macht.
Zudem vermeidet die Malware DNS-Abfragen und nutzt bekannte Infrastrukturen großer Content Delivery Netzwerke (CDNs) wie Cloudflare, um den Datenverkehr unauffällig zu tarnen. Die Nutzung dynamischer Systemaufrufe erschwert zusätzlich jede automatisierte Analyse in Sandbox-Umgebungen.
Die Verbreitung der Schadsoftware erfolgt aktuell vorrangig über präparierte Webseiten. Diese wurden von den Angreifern mit schädlichem Code infiziert. Besonders perfide: Die Opfer werden durch täuschend echte CAPTCHA-Abfragen dazu gebracht, bestimmte Tastenkombinationen auszuführen – in Wahrheit PowerShell-Befehle, die im Hintergrund unbemerkt die Malware nachladen.
Dieser mehrstufige Ablauf kombiniert legitime Prozesse mit verschachtelten und verschleierten Skripten. Das macht eine Erkennung durch klassische Antivirenlösungen besonders schwierig und stellt gleichzeitig ein ernstes Problem für IT-Forensiker dar.
Ziel von Amatera ist der Diebstahl sensibler Nutzerdaten. Die Bandbreite reicht von Browserdaten über Passwörter für E-Mail-Konten, FTP-Zugänge und Kryptowährungs-Wallets bis hin zu Daten aus Passwortmanagern und Messenger-Apps. Besonders besorgniserregend: Die Malware kann Schutzmechanismen moderner Browser umgehen, indem sie direkt Shellcode in laufende Prozesse einschleust.
Eine flexible Konfigurationsstruktur erlaubt es den Angreifern, die Funktionen der Malware zentral zu steuern und bei Bedarf anzupassen – ohne dass ein direkter Eingriff am infizierten System notwendig ist.
Ein Appell an Unternehmen: Sicherheit ist kein einmaliges Projekt
Die Analyse von Proofpoint zeigt deutlich: Mit Amatera Stealer ist eine neue Qualität von Cyberbedrohung erreicht. Für Unternehmen bedeutet das, dass sie sich nicht nur auf technische Schutzmaßnahmen verlassen dürfen. Entscheidend ist auch die kontinuierliche Schulung und Sensibilisierung der Belegschaft im Umgang mit potenziellen Cybergefahren.
Nur wer die aktuellen Entwicklungen im Blick behält und Sicherheit als fortlaufenden Prozess versteht, kann den immer raffinierteren Methoden von Cyberkriminellen etwas entgegensetzen.
