Gremlin Stealer: Neue Stealer-Malware im Untergrund aktiv beworben

Die Malware Gremlin Stealer ist kürzlich in einem bekannten Cybercrime-Forum zum Verkauf angeboten worden und richtet sich primär an Akteure im Bereich Credential Theft und Informationsdiebstahl. Die Entwickler agieren unter dem Namen „CoderSharp“ und nutzen einen gleichnamigen Telegram-Kanal als zentrale Distributions- und Kommunikationsplattform. Hinweise deuten darauf hin, dass der Stealer sich noch in aktiver Entwicklung befindet, was auf eine kontinuierliche Erweiterung seiner Funktionen und Anpassung an aktuelle Sicherheitsmaßnahmen schließen lässt.

Funktionen und Datenerfassungsprozesse von Gremlin Stealer

Gremlin Stealer ist ein in C# geschriebener Infostealer. Er exfiltriert Daten von seinen Opfern und lädt diese Informationen zur Veröffentlichung auf seinen Webserver hoch.

Der Unit 42-Bericht stellte fest, dass Gremlin den Chrome-Cookie-V20-Schutz umgehen kann und dass sein Build-Prozess nichts aus dem Internet herunterlädt.

Der Infostealer kann eine Vielzahl von Daten erfassen, darunter:

• Zu den Grundfunktionen gehören:
  • Umgehung des Chrome-Cookie-Schutzes V20
  • Der Build-Prozess lädt nichts aus dem Internet herunter
• Die Stealing-Funktionalität zielt auf Folgendes ab:
  • Beliebte Browser (z. B. Cookies, Passwörter, Karten, Formulare)
  • Beliebte Kryptowährungen
  • Zwischenablagedaten
  • FTP-Dienste
  • Steam (Token- und Sitzungsdaten)
  • Beliebte VPN-Dienste
  • Telegram-Sitzungsdaten
  • Discord-Token (Spot-Suche über Browser)
  • Screenshots
  • Spezifische Informationen vom PC des Opfers (z. B. BSID, HVID, RAM, CPU, GPU und IP-Adresse)

Sobald Gremlin die Daten gesammelt hat, erstellt es einen Ordner unter LOCAL_APP_DATA, um sie in Klartextdateien zu speichern. Diese Texte werden in einem ZIP-Archiv gesammelt, das über die URL hxxp[:]//207.244.199[.]46/index.php an seinen Server gesendet wird. Anschließend sendet es diese Daten über einen Telegram-Bot und lädt die gestohlenen Daten mit einem fest codierten Telegram-API-Schlüssel auf den Server hoch.

Die Gruppe hinter der Gremlin Stealer-Malware behauptet, große Mengen gestohlener Daten von den Computern der Opfer auf einen Server unter 207.244.199[.]46 hochgeladen zu haben, einem konfigurierbaren Portal, das Teil des Malware-Verkaufspakets ist.

Die Website von Gremlin Stealer hostet derzeit 14 ZIP-Archive mit gestohlenen Daten, die Benutzer löschen oder herunterladen können.

Fazit

Gremlin Stealer ist eine neue Malware, die seit März 2025 aktiv ist. Diese Malware sucht auf dem Windows-Computer des Opfers nach einer Vielzahl von Anwendungen, und unsere Codeanalyse bestätigt die spezifischen Anwendungen, auf die sie abzielt.

Stealer dieser Art sind in der Bedrohungslandschaft bekannt, und es gibt viele Ansätze, um Kunden vor diesen sich weiterentwickelnden Angriffen zu schützen. Palo Alto Networks überwacht diese Kampagnen sorgfältig und nutzt eine Reihe statischer und dynamischer Techniken, um sie zu erkennen und zu verhindern.

Zu diesen Methoden gehören dynamische und verhaltensbasierte Erkennungen sowie reaktivere signatur- oder musterbasierte Lösungen.

Quelle: Unit42

Redaktion AllAboutSecurity 30.04.2025

---

Bild/Quelle: https://depositphotos.com/de/home.html