Die Security-Experten von Proofpoint haben in den letzten Monaten eine deutliche Zunahme von Angriffskampagnen festgestellt, die auf Stealerium basieren – einem 2022 auf GitHub veröffentlichten Open-Source-Infostealer. Solcher frei zugänglicher Schadcode, der offiziell „nur zu Bildungszwecken“ veröffentlicht wurde, kann zwar Sicherheitsforschern helfen, wird aber auch von Cyberkriminellen genutzt, angepasst und weiterentwickelt.
Dadurch entstehen zahlreiche Varianten, die schwerer zu erkennen sind. Neben Stealerium selbst gibt es weitere Software mit erheblichem Überschneidungen im Code, insbesondere Phantom Stealer und Warp Stealer. Proofpoint fasst diese unter dem Oberbegriff „Stealerium“ zusammen.
Wiederaufleben der Angriffe
Nach einer Phase geringer Aktivität konnten die Proofpoint-Experten Stealerium im Mai 2025 wieder verstärkt in ihren E-Mail-Bedrohungsdaten finden. Auslöser war eine Kampagne der Gruppe TA2715, kurz darauf folgte TA2536. In den Monaten bis August 2025 wurden weitere Kampagnen mit unterschiedlichen Täuschungsmethoden und Dateiformaten entdeckt. Die Größenordnung reichte von einigen Hundert bis zu zehntausenden E-Mails pro Angriffswelle.
Die Angreifer nutzten unterschiedlichste Themen als Köder: darunter fingierte Zahlungsaufforderungen, Gerichtsvorladungen, Spendenquittungen – und das Thema Hochzeit. Die Absender imitierten bei den Angriffen Banken, NGOs, Gerichte oder Dokumentendienstleister. In den Betreffzeilen wurde auf eine vermeintliche Dringlichkeit bzw. finanzielle Relevanz verwiesen.
Technisch kamen komprimierte EXE-Dateien, JavaScript- und VBScript-Dateien, ISO- und IMG-Images sowie ACE-Archive zum Einsatz. Beispiele sind eine TA2715-Kampagne vom 5. Mai 2025 mit einer mutmaßlichen Angebotsanfrage einer kanadischen Wohltätigkeitsorganisation oder eine „Xerox Scan“-Mail. Auch juristische Drohungen mit angeblichen Gerichtsterminen wurden genutzt, um Opfer zum Klick zu bewegen.
Funktionsweise und Spionagefähigkeiten
Nach der Ausführung sammelt Stealerium zunächst WLAN-Profile und Informationen zu nahegelegenen Netzwerken, teils ergänzt durch PowerShell-Befehle zur Manipulation von Windows Defender und geplanten Tasks, um sich dauerhaft im System festzusetzen. Manche Varianten missbrauchen die Remote-Debugging-Funktion von Chrome, um Browser-Sicherheitsmechanismen zu umgehen und sensible Daten wie Cookies oder Passwörter zu stehlen.
Stealerium ist in .NET geschrieben und verfügt über umfangreiche Datendiebstahl-Funktionen. Die Exfiltration erfolgt über verschiedene Wege: am häufigsten per SMTP, daneben über Discord-Webhooks, die Telegram-API, den Filehosting-Dienst Gofile und die Chat-Plattform Zulip. Kostenlose Cloud-Dienste wie Gofile erleichtern den unauffälligen Abfluss großer Datenmengen. Zulip wurde in den untersuchten Kampagnen zwar nicht aktiv genutzt, ist aber als Option vorhanden.
Die Stealerium-Malware ist hochgradig konfigurierbar. Die Konfiguration enthält C2- und Exfiltrationsparameter sowie Listen mit Diensten, etwa bestimmter Banken. Teile sind per AES verschlüsselt. Stealerium nutzt zahlreiche Anti-Analyse-Techniken: Startverzögerungen, Abgleich von Systemparametern mit Blocklisten, Erkennung bestimmter Prozesse und Dienste, Anti-Emulation und Selbstlöschung bei Verdacht. Bemerkenswert ist die Fähigkeit, aktuelle Blocklisten dynamisch aus öffentlichen GitHub-Repositories nachzuladen.
Überlappung mit Phantom Stealer
Phantom Stealer hat große Teile des Codes mit Stealerium gemeinsam und unterscheidet sich vor allem in der Art der Datenübertragung. Manche Samples enthalten Verweise auf beide Namen, was auf Code-Recycling hindeutet. Auch Warp Stealer weist deutliche Überschneidungen auf. Proofpoint behandelt diese Familien als Varianten derselben Bedrohung, solange keine wesentlichen funktionalen Unterschiede bestehen.
Die Aktivitäten zwischen Mai und Juli 2025 zeigen, dass Stealerium und seine Varianten weiterhin aktiv in Angriffen eingesetzt werden. Die Kombination aus offenem Quellcode, breiter Funktionspalette und flexiblen Exfiltrationswegen macht sie zu einer ernstzunehmenden Bedrohung. Organisationen sollten auf verdächtige Systembefehle, ungewöhnliche PowerShell-Nutzung zur Manipulation von Defender-Einstellungen und „headless“ Chrome-Prozesse achten.
Ebenso ist es ratsam, ausgehenden Datenverkehr zu überwachen und Verbindungen zu nicht autorisierten Diensten wie Discord, Telegram oder Gofile zu blockieren. Nur durch technische Erkennung, Netzwerküberwachung und Sensibilisierung der Mitarbeiter lässt sich das Risiko durch diese vielseitige Schadsoftware wirksam senken.