Vermarktet wird Venom Stealer in einschlägigen Foren als “der Apex-Räuber der Wallet-Extraktion”. Laut Williams läuft der Vertrieb über ein Abomodell: 250 US-Dollar pro Monat oder 1.800 US-Dollar für einen dauerhaften Zugang. Dazu kommen ein geprüfter Bewerbungsprozess, eine Lizenzverwaltung über Telegram und ein Partnerprogramm mit 15 Prozent Beteiligung. Ausgeliefert wird eine native, in C++ kompilierte Binärdatei, die für jeden Betreiber einzeln aus dem Web-Panel erzeugt wird.
Ein mit Venom Stealer gebauter Angriff beginnt damit, dass ein potenzielles Opfer auf einer vom Betreiber gehosteten ClickFix-Seite landet. Die Plattform liefert pro Betriebssystem — Windows und macOS — vier Vorlagen: ein gefälschtes Cloudflare-CAPTCHA, ein vorgetäuschtes Betriebssystem-Update, einen fingierten SSL-Zertifikatsfehler und eine angebliche Schriftarten-Installation. Jede fordert das Opfer auf, ein Ausführen-Fenster oder ein Terminal zu öffnen, einen Befehl einzufügen und mit Enter zu bestätigen. Weil die Ausführung so vom Nutzer selbst angestoßen wird, erscheint der Vorgang als benutzerinitiiert und umgeht laut Williams Erkennungslogik, die auf den Beziehungen zwischen Eltern- und Kindprozessen aufbaut.
Für Windows stehen Payloads als .exe, .psi (oder dateilos über PowerShell), .hta und .bat bereit, für macOS kommen bash und curl zum Einsatz. Über Cloudflare-DNS lassen sich zudem eigene Domains konfigurieren, sodass die URL des Panels nie im Befehl auftaucht.
Nach der Ausführung durchsucht die Schadsoftware jeden auf Chromium oder Firefox basierenden Browser und extrahiert gespeicherte Passwörter, Sitzungscookies, Verlauf, Autofill-Daten und Wallet-Daten aus sämtlichen Profilen. Williams zufolge umgeht Venom die Passwortverschlüsselung in den Chrome-Versionen 10 und 20 über eine stille Rechteausweitung, die den Entschlüsselungsschlüssel ausliest, ohne eine Benutzerkontensteuerung-Abfrage (UAC) auszulösen — und dabei keine forensischen Spuren hinterlässt. Erfasst werden außerdem System-Fingerprints und installierte Browser-Erweiterungen. All diese Daten verlassen das infizierte Gerät unmittelbar, mit wenig oder gar keiner lokalen Zwischenspeicherung.
Gefundene Wallet-Daten leitet der Angriff an eine serverseitige, GPU-gestützte Cracking-Engine weiter, die Wallets wie MetaMask, Phantom, Solflare, Trust Wallet, Atomic, Exodus, Electrum, Bitcoin Core, Monero und Tonkeeper automatisch knackt. Ein Update vom 9. März ergänzte den “File Password and Seed Finder”, der das Dateisystem nach lokal gespeicherten Seed-Phrasen durchsucht und Funde in die Cracking-Pipeline einspeist. Damit seien laut Williams selbst jene Nutzer gefährdet, die keine Zugangsdaten im Browser speichern, sofern irgendwo auf dem Rechner Seed-Phrasen liegen.
Anders als ältere Infostealer bleibt Venom nach der Erstinfektion aktiv und überwacht fortlaufend Chromes Login-Daten, um neu gespeicherte Zugangsdaten in Echtzeit abzugreifen. Das untergrabe das Rotieren von Zugangsdaten als Reaktionsmaßnahme und verlängere das Exfiltrationsfenster über die ursprüngliche Infektion hinaus, so Williams; den vollen Umfang einer laufenden Kompromittierung zu bestimmen werde dadurch schwieriger. Trotz der noch jungen Marktpräsenz scheint der Betrieb hinter Venom bereits zu florieren — allein im Monat März lieferte der Entwickler mehrere Updates aus.
ClickFix-Angriffe wurden erstmals von Forschern von ProofPoint vor rund zwei Jahren beobachtet; seither hat sich die Technik in der Cyberkriminellen-Szene durchgesetzt. Sie erzeugt Dringlichkeit, indem dem Opfer ein zu behebendes Problem vorgespielt wird, und nutzt harmlos wirkende CAPTCHA-artige Aufforderungen, um es in falscher Sicherheit zu wiegen. Zum Schutz empfiehlt Williams, die Ausführung von PowerShell einzuschränken, das Ausführen-Fenster für Standardnutzer per Gruppenrichtlinie zu deaktivieren und Mitarbeiter im Erkennen von ClickFix-Social-Engineering zu schulen. Da die Angriffskette nach dem Start auf dem Abfluss von Daten beruht, sei die Überwachung und Kontrolle des ausgehenden Datenverkehrs entscheidend, um Exfiltration zu erkennen oder zu verhindern.
