Thought Leadership
Die Sicherheitsforscher von Proofpoint beobachten seit einigen Monaten eine deutliche Zunahme von Angriffskampagnen, die auf Stealerium basieren.
Dieses Schadprogramm wurde 2022 als frei zugänglicher Infostealer auf GitHub veröffentlicht. Obwohl es offiziell „zu Bildungszwecken“ bereitgestellt wurde, nutzen Cyberkriminelle den Quellcode, passen ihn an und entwickeln ihn weiter. Das Ergebnis: zahlreiche Varianten, die schwer zu erkennen sind.
Neue Angriffswelle seit Frühjahr 2025
Nach einer ruhigeren Phase meldeten die Experten im Mai 2025 eine erneute Häufung von Angriffen mit Stealerium. Zunächst war die Gruppe TA2715 aktiv, kurz darauf folgte TA2536. Seitdem wurden mehrere Kampagnen identifiziert, die je nach Angriffswelle von einigen Hundert bis zu zehntausenden E-Mails reichten.
Die Täuschungsmethoden sind vielfältig: Gefälschte Zahlungsaufforderungen, Gerichtsvorladungen, Spendenquittungen oder sogar Einladungen zu Hochzeiten sollten Empfänger dazu bringen, infizierte Anhänge zu öffnen. Die Angreifer gaben sich dabei als Banken, Gerichte, NGOs oder Dokumentendienste aus. Technisch kamen unterschiedlichste Dateiformate wie EXE-Archive, JavaScript- oder VBScript-Dateien sowie ISO- und IMG-Abbilder zum Einsatz.
Spionage und Persistenz im System
Wird die Malware ausgeführt, beginnt sie sofort mit der Datensammlung. Sie erfasst WLAN-Profile, Netzwerkinformationen und versucht mit Hilfe von PowerShell-Befehlen den Windows Defender zu manipulieren. Ziel ist es, sich dauerhaft im System einzunisten. Manche Varianten missbrauchen zudem die Remote-Debugging-Funktion von Chrome, um an Cookies und Passwörter zu gelangen.
Die Software ist in .NET programmiert und bietet eine breite Palette an Spionagefunktionen. Daten können über verschiedene Kanäle abfließen: am häufigsten per SMTP, daneben über Discord, Telegram, den Cloud-Dienst Gofile oder die Plattform Zulip. Vor allem kostenlose Dienste erleichtern die unauffällige Exfiltration großer Datenmengen.
Tarnmechanismen und Konfigurierbarkeit
Stealerium ist hochgradig anpassbar. Die Konfiguration enthält Steuerungsserver, Exfiltrationsmethoden sowie verschlüsselte Parameter. Darüber hinaus kommen zahlreiche Anti-Analyse-Techniken zum Einsatz: Startverzögerungen, Überprüfung von Systemparametern, Blocklisten, Anti-Emulation oder auch die Selbstlöschung bei Verdacht. Auffällig ist die Fähigkeit, aktuelle Blocklisten direkt aus GitHub nachzuladen.
Neben Stealerium selbst gibt es weitere Programme, die deutliche Überschneidungen im Quellcode aufweisen. Besonders Phantom Stealer und Warp Stealer gelten als eng verwandt. Proofpoint führt sie daher unter dem Sammelbegriff „Stealerium“, solange keine wesentlichen Unterschiede in den Funktionen erkennbar sind.
Die wiederkehrenden Aktivitäten zwischen Mai und Juli 2025 zeigen, dass Stealerium und seine Varianten weiterhin ein ernstzunehmendes Risiko darstellen. Die Mischung aus frei verfügbarem Code, flexiblen Angriffsmethoden und ausgefeilten Tarnmechanismen macht die Schadsoftware besonders gefährlich.
Organisationen sollten daher auf verdächtige PowerShell-Befehle, Manipulationen am Windows Defender und ungewöhnliche Chrome-Prozesse achten. Ebenso ist es ratsam, den ausgehenden Datenverkehr genau zu überwachen und Verbindungen zu nicht autorisierten Diensten wie Discord, Telegram oder Gofile zu blockieren. Neben technischer Abwehr bleibt auch die Sensibilisierung der Mitarbeiter ein entscheidender Faktor, um das Risiko durch diese vielseitige Malware zu senken.
