StealC-Malware: Forscher kapern die Kommandozentrale der Cyberkriminellen

Sicherheitsexperten haben die Schaltzentrale des berüchtigten Datenklauers StealC übernommen. Sie nutzten eine gravierende Sicherheitslücke, um die Cyberkriminellen bei der Arbeit zu beobachten und ihre Identitäten zu enthüllen.

BERLIN – In einer bemerkenswerten Rollenumkehr im Cybercrime-Ökosystem haben Sicherheitsforscher die Kommandoinfrastruktur des berüchtigten StealC-Infostealers gekapert. Ein am Wochenende veröffentlichter Bericht zeigt, wie Experten von CyberArk Labs eine kritische Schwachstelle im Administrationspanel der Malware ausnutzten. Sie überwachten die Täter, stahlen deren Sitzungs-Cookies und identifizierten die Hintermänner weitreichender Datendiebstahl-Kampagnen.

Die Operation, die auf Erkenntnissen vom 16. und 17. Januar basiert, markiert einen bedeutenden Sieg der Verteidiger im anhaltenden Kampf gegen Malware-as-a-Service (MaaS). Indem die Forscher eine Cross-Site-Scripting (XSS)-Lücke im StealC-Kontrollpanel ausnutzten, wandten sie die Werkzeuge für den Credential-Diebstahl gegen deren Betreiber. Sie legten so die Identitäten und Taktiken von Bedrohungsakteuren offen, die Tausende Opfer weltweit kompromittiert haben.

Warum sind viele Firmen für solche Angriffe anfällig? Aktuelle Analysen zeigen, dass Organisationen oft grundlegende Schutzmaßnahmen unterschätzen — genau solche Lücken nutzen Malware-Tools aus. Ein kostenloser E‑Book‑Report erklärt die wichtigsten Cyber‑Security‑Trends, konkrete Schutzmaßnahmen und Sofort‑Checks für IT‑Verantwortliche und Geschäftsführer. Praktische Empfehlungen helfen, Angriffe schneller zu erkennen und mit überschaubarem Aufwand abzuwehren. Jetzt kostenlosen Cyber-Security-Report downloaden

Der Durchbruch konzentriert sich auf ein fundamentales Sicherheitsversäumnis in der StealC-Plattform. Dieser beliebte Infostealer wird seit Anfang 2023 in Untergrundforen verkauft. Laut der technischen Analyse von CyberArk Labs enthielt das webbasierte Kontrollpanel eine schwerwiegende XSS-Schwachstelle. Diese erlaubte es den Forschern, schädliche Skripte in die Panel-Oberflächen einzuschleusen, die die Cyberkriminellen zur Verwaltung ihrer infizierten Bots und zum Abgreifen gestohlener Daten nutzen.

In einer ironischen Wendung ermöglichte die Schwachstelle den Forschern genau den Angriffstyp auszuführen, für den StealC konzipiert wurde: Cookie-Diebstahl. Die Entwickler der Malware versaumten es, grundlegende Sicherheitsmaßnahmen wie das “HttpOnly”-Flag zu implementieren. Dieses hätte die Session-Cookies der Operatoren vor dem Zugriff durch clientseitige Skripte schützen können.

Durch die Ausnutzung dieser Lücke konnten die Forscher die Aktivitäten der Angreifer in Echtzeit beobachten. Der Zugriff ermöglichte es ihnen, die von den Cyberkriminellen genutzten Geräte zu identifizieren, deren aktive Sitzungen zu verfolgen und schließlich deren Panel-Konten zu übernehmen. Dieser Zugriff gewährte einen seltenen, ungefilterten Einblick in die Operationen eines MaaS-Abonnenten – und offenbarte nicht nur die gestohlenen Daten, sondern auch die Arbeitsgewohnheiten und Sicherheitslücken der Angreifer selbst.

Enttarnt: Der operative Fehler von ‘YouTubeTA’

Die Untersuchung fokussierte sich stark auf einen spezifischen Bedrohungsakteur, den die Forscher als “YouTubeTA” bezeichneten. Dieser Operator nutzte die StealC-Infrastruktur für eine aggressive Kampagne, die auf Content-Creator und Nutzer von Raubkopien abzielte. Durch die übernommenen Panel-Sitzungen konnte CyberArk Labs ein detailliertes Profil dieser Person erstellen und die typische Anonymität des Dark Webs durchbrechen.

Die aus den Sitzungen des Operators gesammelten Daten zeigten, dass YouTubeTA einen Computer mit einem Apple M3-Prozessor nutzte. Die Spracheinstellungen des Systems waren auf Englisch und Russisch konfiguriert, die Zeitzone auf GMT+3 eingestellt – eine Zone, die Teile Osteuropas und des Nahen Ostens umfasst.

Der verhängnisvollste Beweis ergab sich aus einem kritischen Fehler in der operativen Sicherheit (OpSec) des Täters. Die Forscher beobachteten, dass der Bedrohungsakteur kurzzeitig ohne den Schutz eines Virtual Private Network (VPN) auf das StealC-Panel zugriff. Dieser Fehler gab seine echte IP-Adresse preis, die zum ukrainischen Internetdienstanbieter TRK Cable TV zurückverfolgt werden konnte.

Diese Zuordnung passt zu den größeren Trends in der Cybercrime-Landschaft, wo Osteuropa nach wie vor ein bedeutender Hub für MaaS-Operationen ist. Die Möglichkeit, eine spezifische Kampagne mit einem physischen Standort und einer Hardware-Konfiguration zu verknüpfen, demonstriert die enormen Risiken, denen Cyberkriminelle ausgesetzt sind, wenn sie schlecht gesicherte “von der Stange”-Malware-Tools nutzen.

Das Ausmaß des Diebstahls: Millionen Cookies geborgen

Die übernommene Infrastruktur bot den Forschern einen umfassenden Blick auf das Ausmaß von YouTubeTAs Operationen. Das Panel des Operators enthielt Logs von über 5.000 infizierten Maschinen – ein gewaltiger Schatz gestohlener persönlicher Informationen. Die Datenbank umfasste etwa 390.000 Passwörter und schätzungsweise 30 Millionen Sitzungs-Cookies.

Die Analyse der Opferdaten zeigt, dass YouTubeTA eine spezifische und effektive Verbreitungsstrategie verfolgte. Der Operator kompromittierte legitime YouTube-Kanäle – oft solche mit etablierten Abonnentenstämmen und langer Historie – und nutzte sie zur Verbreitung von Malware. Nach der Übernahme wurden diese Kanäle genutzt, um Videos hochzuladen, die “gecrackte” Versionen beliebter Kreativsoftware wie Adobe Photoshop und After Effects bewarben.

Die Beschreibungen und Kommentare unter diesen Videos enthielten Links zur StealC-Malware, getarnt als kostenlose Software-Installer. Wenn Opfer versuchten, die raubkopierten Anwendungen herunterzuladen, infizierten sie stattdessen ihre Systeme mit dem Infostealer. Die Malware erntete dann Browserdaten, einschließlich der Zugangsdaten für die YouTube-Konten der Opfer selbst, und perpetuiert so den Kreislauf der Account-Übernahmen.

Die Bergung von 30 Millionen Cookies unterstreicht das immense Datenvolumen, das moderne Infostealer verarbeiten. Während viele dieser Cookies nicht sensibel oder abgelaufen sein mögen, zeigt die schiere Menge die Bedrohung für Unternehmens- und persönliche Sicherheit. Gültige Session-Cookies können Angreifern erlauben, die Multi-Faktor-Authentifizierung (MFA) zu umgehen und unbefugten Zugang zu E-Mail-Konten, Firmennetzwerken und Finanzplattformen zu erlangen.

Folgen für das Malware-as-a-Service-Ökosystem

Dieser Vorfall beleuchtet die Fragilität der Malware-as-a-Service-Wirtschaft. StealC wird, wie viele seiner Konkurrenten (etwa Vidar, Raccoon und RedLine), als Produkt an weniger technisch versierte Cyberkriminelle verkauft. Diese “Script Kiddies” sind vollständig auf die Sicherheit und Stabilität der gekauften Tools angewiesen.

Die Enthüllung, dass StealCs Infrastruktur für einen so grundlegenden Web-Exploit anfällig ist, beschädigt den Ruf seiner Entwickler. Im Untergrundmarkt ist Vertrauen eine Währung. Wenn ein Malware-Stamm als “undicht” oder unsicher für den Operator wahrgenommen wird, kann sein Marktanteil rapide einbrechen.

Sicherheitsexperten vermuten, dass der StealC-Quellcode-Leak im Frühjahr 2025 zur Entdeckung dieser Schwachstelle beigetragen haben könnte. Mit dem verfügbaren Quellcode konnten White-Hat-Forscher die Backend-Systeme der Malware prüfen und Schwächen identifizieren, die ein Blackbox-Testing möglicherweise übersehen hätte.

Der Vorfall dient auch als Fallstudie für Verteidiger. Er zeigt, dass Cyberkriminalitäts-Infrastruktur oft mit derselben “Schnell-zum-Markt”-Mentalität wie legale Software gebaut wird – was zu faulen Kompromissen und Sicherheitslücken führt. Indem sie diese Schwachstellen ins Visier nehmen, können Sicherheitsfirmen Operationen nicht nur durch die Blockierung der Malware auf Opfermaschinen stören, sondern auch die Kommandostrukturen, die sie kontrollieren, zerlegen.

PS: Wenn Fälle wie die Übernahme von StealC zeigen, wie schnell Angreifer vorgehen, lohnt es sich, präventiv zu handeln. Ein kompakter Gratis‑Leitfaden erklärt, welche Sofortmaßnahmen Unternehmen und IT‑Teams jetzt umsetzen können, wie Mitarbeitersensibilisierung wirkt und welche Kontrollen ohne große Budgets umgesetzt werden. Perfekt für Entscheider, die ihre Abwehr schnell und praxisnah stärken wollen. Gratis Cyber-Security-Leitfaden anfordern