CyberArk-Forscher kapern Kommandozentrale der Schadsoftware StealC

Forscher haben die Kontrollzentrale des berüchtigten Datendiebstahl-Trojaners StealC übernommen und einen Top-Kriminellen enttarnt. Die Aktion liefert einzigartige Einblicke in die Methoden der Cyber-Mafia.

Die Experten des Sicherheitsunternehmens CyberArk nutzten eine kritische Schwachstelle im webbasierten Command-and-Control-Panel (C2) der Malware. Dieses Panel nutzen Kriminelle, die StealC als „Malware-as-a-Service“ (MaaS) mieten. Die Forscher konnten so aktive Angriffssitzungen überwachen, die Hardware der Täter analysieren und schließlich die gesamte Schadinfrastruktur übernehmen. Dieser Schlag gegen die Cyberkriminalität gewährt wertvolle Erkenntnisse über die Arbeitsweise moderner Bedrohungsakteure.

Eine fatale Sicherheitslücke für die Täter

Der Schlüssel zur Übernahme war eine Cross-Site-Scripting (XSS)-Schwachstelle im StealC-Kontrollpanel. Den Forschern bot sich die Chance zur Analyse, nachdem der Quellcode des Admin-Panels im Frühjahr 2025 online geleakt worden war. Sie stellten fest: Obwohl die Malware darauf spezialisiert ist, Sitzungs-Cookies zu stehlen, hatten ihre Entwickler vergessen, die eigenen Cookies der Operatoren mit grundlegenden Sicherheitsmaßnahmen wie dem HttpOnly-Flag zu schützen.

Diese Nachlässigkeit ermöglichte es dem CyberArk-Team, einen Exploit zu entwickeln. Er fing die aktiven Sitzungs-Cookies der StealC-Betreiber ab – und übergab den Forschern damit den Schlüssel zum Königreich. Sie konnten so unbemerkt die Aktivitäten der Angreifer beobachten, gestohlene Datensammlungen einsehen und detaillierte System-Profile der Operator-Computer sammeln.

Cyberangriffe wie der Fall StealC zeigen, wie schnell Angreifer an Sitzungs-Cookies, Passwörter und sensible Daten gelangen können – in diesem Fall Millionen von Credentials. Ein kostenloses E‑Book zur Cyber-Security fasst die aktuellen Bedrohungstrends zusammen und bietet sofort umsetzbare Schutzmaßnahmen, Checklisten für IT-Verantwortliche sowie praxiserprobte Maßnahmen, um Info-Stealer und MaaS-Angriffe abzuwehren – ganz ohne hohe Investitionen. Jetzt kostenlosen Cyber-Security-Report herunterladen

„YouTubeTA“: Ein Einblick in die Malware-Verteilung

Im Fokus der Untersuchung stand ein besonders erfolgreicher StealC-Operator, den die Forscher „YouTubeTA“ (YouTube Threat Actor) tauften. Diese Einzelperson oder Gruppe führte 2025 umfangreiche Kampagnen durch. Ihr Trick: Sie kaperten legitime YouTube-Kanäle mit etablierter Abonnenten-Basis und posteten Videos, die kostenlose oder „gecrackte“ Versionen beliebter Software wie Adobe Photoshop und After Effects versprachen.

Das Ausmaß der Operation war gewaltig. Die Analyse des gekaperten Panels zeigte, dass der Angreifer über 5.000 Opfer-Logs gesammelt hatte. Diese Daten beinhalteten etwa 390.000 gestohlene Passwörter und mehr als 30 Millionen Browser-Cookies. Automatisch erstellte Screenshots von den Rechnern der Opfer bestätigten: Sie hatten sich die Infektion beim Suchen nach Raubkopien auf YouTube eingefangen.

Die Ermittler sammelten auch Daten zum technischen Setup des Täters. Dieser nutzte konsequent ein Apple-Gerät mit einem M3-Prozessor. Ein seltener Fehler in der operativen Sicherheit lieferte dann den entscheidenden Hinweis auf den Standort: Während einer Sitzung im Juli 2025 griff der Operator kurz ohne aktives VPN auf das Panel zu und verriet seine echte IP-Adresse. Diese ließ sich zu einem ukrainischen Internetanbieter, TRK Cable TV, zurückverfolgen – ein weiterer Beleg für einen Operator in Osteuropa.

StealC: Eine anhaltende Bedrohung

StealC tauchte Anfang 2023 in Dark-Web-Foren auf und wurde schnell als effektiver Info-Stealer in der Cybercrime-Szene populär. Im MaaS-Modell ermöglicht es auch technisch weniger versierten Kriminellen, ausgeklügelte Datendiebstahl-Kampagnen für eine monatliche Gebühr zu starten. Die Malware stiehlt Browser-Passwörter, Cookies, Krypto-Wallets und Daten aus Messengern und E-Mail-Clients.

Im März 2025 brachten die Entwickler StealC Version 2 heraus. Das Update brachte verbesserte Tarnfähigkeiten, ein neu gestaltetes Kontrollpanel und flexiblere Verteilungsmethoden wie PowerShell-Skripte und MSI-Pakete. Diese Verbesserungen machten die Malware noch gefährlicher für Privatpersonen und Unternehmen.

Ausblick: Die MaaS-Ökonomie stören

Die erfolgreiche Infiltration des StealC-Panels ist ein bedeutender Sieg für die Cybersicherheit. Indem sie die Schwachstellen der Plattform offenlegen, haben die Forscher nicht nur einen großen Operator gestoppt, sondern auch die Glaubwürdigkeit des gesamten StealC-Dienstes untergraben. CyberArk betonte, dass die öffentliche Bekanntgabe des Fehlers gezielt Störungen verursachen soll – besonders angesichts eines kürzlichen Anstiegs der StealC-Operatoren.

Dieser Vorfall unterstreicht eine wiederkehrende Schwäche im Cybercrime-Ökosystem: Die Infrastruktur der Angreifer ist oft überstürzt und schlecht gesichert – und wird damit selbst zum lohnenden Ziel für Gegenangriffe. Die Bedrohung durch StealC und andere Info-Stealer bleibt hoch. Doch diese aufklärerische Operation zeigt die Macht proaktiver Sicherheitsforschung, um Cyberkriminellen das Handwerk zu legen und ihr illegales Treiben zu enttarnen.

PS: Wenn Sie konkret wissen wollen, welche einfachen technischen und organisatorischen Schritte jetzt am wichtigsten sind, lohnt sich das Gratis-E-Book „Cyber Security Awareness Trends“. Es erklärt, wie Unternehmen mit begrenztem Budget Angriffe wie StealC erkennen, Mitarbeiter schützen und rechtliche Risiken minimieren. Praktische Checklisten und Prioritäten helfen sofort im Alltag. Gratis E-Book “Cyber Security Awareness Trends” herunterladen