Eine neue Malware namens „Stealc“, die heimlich private Informationen von einem Computer stiehlt, wurde von Cybersecurity-Forscher Aziz Farghly entdeckt. Seit Januar 2023 bietet Plymouth, bekannt aus russischen Foren, Stealc als Malware-as-a-Service an. Stealc zeichnet sich durch seine Fähigkeit aus, vielfältige Daten direkt an einen Command-and-Control (C2) Server zu senden, ohne rohe Dateien zu speichern. Dies macht Stealc zu einem mächtigen Werkzeug für verdeckte Operationen.
Stealc führt eine Reihe von Überprüfungen durch, um Emulation und das Vorhandensein von Antiviren-Software zu erkennen. Nach diesen Überprüfungen startet Stealc seine normalen Aktivitäten und kommuniziert mit einem C2-Server, wobei es das System des Opfers anhand der Seriennummer des „C“-Laufwerks identifiziert. Stealc ist in der Lage, verschiedene Browserdatenbanken wie Chromium, Mozilla und Opera zu durchsuchen und stiehlt dabei Logins, Kreditkarteninformationen, Cookies und den Verlauf, die in diesen Browsern gespeichert sind. Außerdem kann Stealc Kryptowährungswallets, Passwortdateien, Outlook-Konten und andere sensible Daten auslesen.
Einige der gestohlenen Dateien haben versteckte und Systemeigenschaften. Der Angriff beginnt mit einer PDF-Datei, die einen bösartigen URL-Link enthält, der zur Installation verschiedener Malware-Arten führt. Die Schadsoftware „bus50.exe“ ist eine SFX-Datei, die weitere bösartige Dateien in einem Ordner namens ‘IXP000.TMP’ erstellt.
Die Forscher empfehlen, Downloads von Cracks und illegalen Programmen zu vermeiden und bei der Ausführung von Dateien Vorsicht walten zu lassen. Die von Stealc verwendeten Indikatoren für Kompromittierung (IOCs) umfassen verschiedene Hash-Werte und URLs, die auf bösartige Server hinweisen.
