Das Malware-as-a-Service-Modell hat sich längst als lukratives Geschäftsmodell für Cyberkriminelle etabliert. Venom Stealer zeigt jedoch, wie weit diese Entwicklung mittlerweile fortgeschritten ist. Der Entwickler unter dem Handle “VenomStealer” bewirbt seine Lizenzmodelle aktiv über Telegram und bietet sogar ein Affiliate-Programm an – ein Zeichen dafür, dass dies eine professionelle, hauptamtliche Operation ist.
Die Funktionsweise von Venom Stealer ist bemerkenswert durchdacht. Jeder lizenzierte Betreiber konfiguriert sich über Cloudflare DNS eine eigene Domain, sodass die eigentliche Infostealer-URL niemals in Befehlen auftaucht. Das System bietet vorgefertigte, professionelle Social-Engineering-Templates – sogenannte ClickFix-Lures – an. Dazu gehören gefälschte Cloudflare-CAPTCHAs, vorgetäuschte Betriebssystem-Updates, Zertifikatsfehler und falsche Schriftart-Installationsseiten. Alle diese Köder funktionieren nach dem gleichen Prinzip: Das Opfer soll einen Befehl im Run-Dialog oder Terminal kopieren und ausführen.
Ist die Infektion erfolgreich, beginnt Venom Stealer zu arbeiten. Die Malware durchsucht alle Chromium- und Firefox-Browser auf dem System und extrahiert gespeicherte Passwörter, Session-Cookies, Browserverlauf, Autofill-Daten und Kryptowallet-Vaults aus jedem Profil. Besonders beeindruckend: Die Schadsoftware umgeht die Verschlüsselung von Chrome v10 und v20 durch eine stille Erhöhung der Berechtigungen und extrahiert den Entschlüsselungsschlüssel, ohne UAC-Dialoge auszulösen – es hinterlässt praktisch keine forensischen Spuren.
Das revolutionäre Element ist jedoch die Persistenz. Während traditionelle Infostealer schnell wieder verschwinden, bleibt Venom Stealer im System. Ein Session-Listener läuft kontinuierlich im Hintergrund und meldet sich zweimal täglich mit Informationen über neu gespeicherte Passwörter. Dies ist ein entscheidender Vorteil für Angreifer, da es sogar Passwortrotation durch das Opfer oder als Reaktion auf einen Sicherheitsvorfall zunichtemacht.
Neuere Updates aus März zeigen die volle Dimension der Bedrohung: Venom Stealer kann nun MetaMask, Phantom, Solflare, Trust Wallet, Atomic, Exodus, Electrum und Tonkeeper knacken. Geklaute Kryptowährungen werden automatisch über eine GPU-basierte Cracking-Engine abgezweigt und sofort über neun verschiedene Blockchains transferiert.
Gegen solche Angriffe helfen klassische Schutzmechanismen: Einschränkung der PowerShell-Ausführung, Deaktivierung des Run-Dialogs für Standardbenutzer und Schulung gegen Social Engineering. Zudem sollten Unternehmen die ausgehende Netzwerk-Aktivität kontinuierlich überwachen, um Exfiltrationsvorgänge frühzeitig zu erkennen.