Jeder Lizenznehmer konfiguriert über Cloudflare DNS eine eigene Domain, sodass die URL des Infostealers in keinem ausgegebenen Befehl auftaucht. Sobald die Domain mit dem Bedienpanel von Venom Stealer verbunden ist, läuft alles Weitere automatisch. Aus dem Panel lassen sich vorgefertigte, professionell gestaltete ClickFix-Köder auswählen, die die auf Windows zugeschnittene Schadlast installieren.

Zu den Vorlagen zählen ein gefälschtes Cloudflare-CAPTCHA, eine vorgetäuschte Betriebssystem-Aktualisierung, eine gefälschte SSL-Zertifikatsfehlermeldung und eine fingierte Seite zur Schriftinstallation. Jeder Köder fordert das Ziel auf, ein Ausführen-Dialogfeld oder ein Terminal zu öffnen, einen Befehl einzufügen und mit Enter zu bestätigen.

Ist dies erfolgreich, durchsucht die ausgeführte Schadlast jeden Chromium- und Firefox-Browser auf dem System. Sie extrahiert aus allen Profilen gespeicherte Passwörter, Sitzungscookies, den Browserverlauf, Autofill-Daten und die Tresore von Kryptowährungs-Wallets. Laut den Forschern wird die Passwortverschlüsselung der Chrome-Versionen v10 und v20 über eine lautlose Rechteausweitung umgangen, die den Entschlüsselungsschlüssel extrahiert, ohne ein UAC-Dialogfeld auszulösen oder forensische Spuren zu hinterlassen. Zusätzlich erfasst der Stealer System-Fingerprints und ein Inventar der Browser-Erweiterungen. Alle Daten werden umgehend und ohne nennenswerte lokale Zwischenspeicherung exfiltriert.

Der Listener kam laut BlackFog mit einem Update im März 2026 hinzu. Im selben Monat folgten auch die Umgehung von Chrome v10/v20 sowie eine automatische Crack-Unterstützung für die Tonkeeper-Wallet-Erweiterung, die die vollständige Seed-Phrase und die TON-Adresse über Chrome, Edge, Brave und Opera hinweg wiederherstellt.

Gestohlene Wallet-Daten werden an eine serverseitige Crack-Engine auf GPU-Infrastruktur weitergereicht. Diese knackt automatisch MetaMask, Phantom, Solflare, Trust Wallet, Atomic, Exodus, Electrum, Bitcoin Core, Monero und Tonkeeper. Nach erfolgreichem Cracken, so die Forscher, fegt eine Auto-Transfer-Engine die Guthaben unmittelbar über neun Blockchains hinweg ab – einschließlich ERC-20/SPL-Token, Liquid-Staking-Positionen und DeFi-Protokollpositionen.

Trotz seiner gesteigerten Raffinesse ist Venom Stealer für Angreifer kein Selbstläufer. Das Risiko lässt sich laut BlackFog senken, indem man die PowerShell-Ausführung einschränkt, das Ausführen-Dialogfeld für Standardnutzer deaktiviert und die Mitarbeiter besser im Erkennen von Social Engineering schult. Greifen diese Maßnahmen nicht und ist der Stealer erst installiert, bietet die kontinuierliche Überwachung und Kontrolle des ausgehenden Datenverkehrs die Möglichkeit, die Exfiltration zu erkennen oder zu unterbinden.