BlackFog hat zwei Proben des Stealers OnyxC2 untersucht und ordnet das Angebot klar dem Malware-as-a-Service-Modell zu. Die Malware wurde laut den Forschern Anfang dieses Jahres in einem Cybercrime-Netzwerk sichtbar. Für 250 US-Dollar monatlich gibt es eine normale Variante, für 500 US-Dollar eine Premium-Ausführung inklusive HVNC. Zusätzlich boten die Betreiber nach Angaben von BlackFog eine „private“ Version für 6.000 US-Dollar an, bestehend aus Quellcode und Installationsanleitung; auf Wunsch übernehmen sie demnach auch die Installation.

Die Forscher betonen, dass die Betreiber die Malware wie ein kommerzielles Produkt vermarkten. Dazu passen mehrere vorbereitete Köderdateien, die im Paket enthalten sein sollen, darunter FinePrint, SystemSettings, gefälschte Windows-Update-Pakete und Fling-Standalone. Nach Einschätzung von BlackFog soll das gerade solchen Käufern helfen, die selbst keine Schadsoftware entwickeln können.

Bei der Reichweite ist OnyxC2 ungewöhnlich breit aufgestellt. Den Entwicklerangaben zufolge zielt der Stealer auf 37 Chromium-basierte und 8 Gecko-basierte Browser sowie auf 95 Chromium- und 14 Gecko-Erweiterungen, darunter 6 speziell für Zwei-Faktor-Authentifizierung. Hinzu kommen 5 Passwortmanager, 17 Kryptowallets, 11 FTP-Clients und 5 E-Mail-Clients sowie weitere Ziele aus den Bereichen VPN, Fernzugriff, Messaging, Notizen und Gaming. Insgesamt kommt BlackFog damit auf rund 210 Anwendungen und Erweiterungen in neun Kategorien.

BlackFog weist darauf hin, dass die Kombination aus Passwortmanagern, 2FA-Erweiterungen und gespeicherten Anmeldedaten auf die Erbeutung von Zugangsdaten und Sitzungsmaterial zielt, das auch nach einem Passwortwechsel noch nutzbar sein kann. Die zusätzlichen FTP- und E-Mail-Ziele verschieben den Fokus laut den Forschern über klassischen Diebstahl von Verbraucherzugängen hinaus in Richtung von Geschäftssystemen, auf die kleine Finanz- und Betriebsteams im Alltag angewiesen sind. In einem im Panel sichtbaren infizierten Host waren nach BlackFog-Angaben bereits 55 gespeicherte Passwörter, 4.717 Cookies, 719 Autofill-Einträge, 2 Karten und eine Wallet abgeflossen.

Zur Funktionspalette gehören laut Analyse ein Remote-Access-Toolkit, HVNC im Webbrowser, LSASS-Dumping, RunPE im Speicher und auf Datenträger, ein Reverse-SOCKS5-Proxy, Screenshot-Erfassung, Keylogger, Dateimanager, eine Reverse Shell über HTTP, ein integrierter TOR-Tunnel sowie mit AES-256 verschlüsselte Build-Downloads. BlackFog merkt an, dass nicht alle dieser Funktionen in den Online-Verkaufsunterlagen der Entwickler erwähnt werden, was auf eine laufende Weiterentwicklung hindeute.

Auch die Tarnung prüften die Forscher praktisch. Laut BlackFog blieben beide Auslieferungsarchive beim ersten Upload auf VirusTotal ohne Treffer, und auch die schädliche Komponente darin war beim letzten Check der Forscher am 30. Mai 2026 noch nicht erkannt. Die Build-Downloads seien mit AES256 verschlüsselt.

Im Build steckt nach Angaben von BlackFog zudem eine legitime Anwendung mit gültiger Authenticate-Signatur, die auf VirusTotal von 71 Engines ohne Erkennung blieb. Daneben liegt eine DLL, die als NVIDIA-Grafikbibliothek getarnt ist, deren Nutzlast aber am Ende nach legitimen Inhalten angehängt wurde. Startet das Opfer die Installation der Anwendung, wird gleichzeitig die schädliche DLL geladen. Die Nutzlast bleibt bis zur Laufzeit verschlüsselt und wird erst dann aktiv, wenn der Stealer mit dem Abgreifen von Daten beginnt.