Black friday Up to 3 extra licenses FOR FREE + Special offer for TI LOOKUP Get it now
Webinar
February 26
Better SOC with Interactive Sandbox Practical Use Cases
Register now

Stealc

27
Global rank
19 infographic chevron month
Month rank
23 infographic chevron week
Week rank
0
IOCs

Stealc ist eine Stealer-Malware, die es auf die sensiblen Daten der Opfer abgesehen hat, die sie aus Browsern, Messaging-Apps und anderer Software exfiltriert. Die Malware ist mit fortschrittlichen Funktionen ausgestattet, darunter Fingerprinting, Bedienfeld, Umgehungsmechanismen, String-Verschleierung usw. Stealc stellt eine Persistenz her und kommuniziert mit seinem C2-Server über HTTP-POST-Anfragen.

Stealer
Type
ex-USSR
Origin
1 January, 2023
First seen
18 September, 2025
Last seen

How to analyze Stealc with ANY.RUN

Type
ex-USSR
Origin
1 January, 2023
First seen
18 September, 2025
Last seen

IOCs

IP addresses
193.106.174.125
194.50.153.69
77.246.99.24
172.86.77.177
172.86.66.22
85.192.40.37
167.235.140.81
193.233.49.95
5.161.97.13
77.105.147.59
172.86.66.42
89.23.98.198
91.201.113.144
45.141.86.121
5.161.66.54
194.50.153.109
94.142.138.121
104.234.10.108
162.33.178.240
89.116.255.177
Hashes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earthsymphzony.today
libertyquality.shop
thanjainatural.com
elprogresofood.com
hosting2.ro.hostsailor.com
techmindzs.live
facebook.meta-software-worldwide.com
facebook.windows-software-updates.cc
talk-chief.gl.at.ply.gg
chimerasound.shop
mastercompu.com
facebook.windows-software-updates.com
starshipcrown.shop
facebook.windows-software-downloads.com
freaks.icu
mail.wxtp.store
somebodyonce.shop
giveitupthousands.shop
joewattone.shop
hector.su
URLs
http://193.233.134.93/fd07ec3137071f71.php
http://publisherget.top/410b5129171f10ea.php
http://weighget.top/410b5129171f10ea.php
http://79.137.206.248/0cf6bfa19d78b1fb.php
http://95.217.102.100/5ae84a6abb1a9a5b.php
http://172.86.77.102/72cd883ebd748330.php
http://45.15.159.188/f2cb651e3e755a0f.php
http://91.103.252.32/ba7ec45efcfa89a3.php
http://unlikeget.top/3886d2276f6914c4.php
http://23.184.48.114/68517e86206d47d9.php
http://adriaenclaeys.top/e9c345fc99a4e67e.php
http://185.161.248.78/eba140b7c5f2f228.php
http://91.212.166.50/812472d22955f523.php
http://77.73.131.100/a2f524d70db7d1a7.php
http://94.131.107.238/3aa13fff14e398a1.php
http://5.42.64.12/4e815d9f1ec482dd.php
http://91.103.253.50/e9131e1df8a3fa06.php
http://michealjohnson.top/e9c345fc99a4e67e.php
http://charlesjones.top/e9c345fc99a4e67e.php
http://217.196.96.138/a737400ffa5db996.php
Last Seen at
Last Seen at

Recent blog posts

post image
Efficient SOC: How to Detect and Solve Incide...
watchers 297
comments 0
post image
ANY.RUN & Palo Alto Networks Cortex XSOAR...
watchers 425
comments 0
post image
Lazarus Group Attacks in 2025: Here's Everyth...
watchers 3014
comments 0

Was ist Malware: Stealc?

Bei Stealc handelt es sich um einen in der Programmiersprache C geschriebenen Infostealer, der seit Anfang 2023 in DarkWeb-Foren beworben und verkauft wird. Der Hauptzweck dieser Malware ist der Diebstahl sensibler Daten aus Programmen wie Webbrowsern, E-Mail-Clients und Messengern. Discord, Telegram und Outlook sind einige Beispiele für solche Software. Diese Schadsoftware ist auch in der Lage, Dateien von infizierten Systemen zu stehlen und sie mit zusätzlicher Malware zu versehen.

Laut einem Interview, das g0njxa mit den Entwicklern des Schädlings führte, besteht das Besondere an Stealc darin, dass es ein PHP-Control-Panel zur Verfügung stellt, das auf dem eigenen Server des Anwenders läuft.

Get started today for free

Analyze malware and phishing in a fully-interactive sandbox

Create free account

Technische Details der Stealc Schadsoftware

Stealc verfügt über eine ganze Reihe von Funktionen, die ihn zu einer ernst zu nehmenden Bedrohung machen. Nachfolgend sind einige seiner bemerkenswerten Funktionen aufgeführt:

  • Fingerprinting: Stealc sammelt verschiedene Informationen über das infizierte System, darunter die öffentliche IP-Adresse, den geografischen Standort, die Hardware-ID, die Version des Betriebssystems etc.
  • Kontrollzentrum: Angreifer haben Zugriff auf ein Kontrollzentrum, das ihnen die Verwaltung von Angriffen und die Konfiguration der Malware ermöglicht. Über das Panel haben Angreifer die Möglichkeit zur Manipulation gestohlener Daten und zur Durchführung von Änderungen an ihren Kampagnen.
  • Umgehungsmechanismen: Um sich der Erkennung zu entziehen, sucht Stealc nach virtuellen oder Sandbox-Umgebungen. Um den Dekompilierungsprozess zeitaufwändiger und fehleranfälliger zu machen, werden außerdem unbedingte Sprünge verwendet. Des Weiteren prüft Stealc auf das Vorhandensein von Antivirensoftware und beendet sich beim Auffinden einer solchen selbst.
  • String-Verschleierung: Um seine Strings zu schützen, verlässt sich die Malware auf RC4-Verschlüsselung und Base64-Kodierung.
  • Andere Malware platzieren: Stealc kann auch andere Malware auf den Computer des Opfers laden, wie z.B. Laplas Clipper, der Daten aus der Zwischenablage abfängt und die Adressen von Kryptowährungs-Wallets durch die Adresse des Angreifers ersetzt.

Stealc benötigt externe DLLs, die nicht in die PE integriert werden, sondern von einer speziellen URL heruntergeladen werden, die von C2 gehostet wird. Zu den heruntergeladenen DLLs gehören sqlite3.dll, freebl3.dll, mozglue.dll usw. Mit diesen DLLs werden der Malware zusätzliche Funktionen wie die Interaktion mit SQLite-Datenbanken, die Verschlüsselung von Daten und die Interaktion mit Mozilla-basierten Anwendungen zur Verfügung gestellt.

Sobald die Persistenz hergestellt ist, beginnt Stealc mit der Kommunikation mit dem C2-Server. Zunächst fragt er dessen Konfiguration ab und exfiltriert dann die gestohlenen Daten mit Hilfe von HTTP-POST-Anfragen.

Zusammenfassend ist Stealc eine hochentwickelte Malware, die in der Lage ist, sensible Daten zu stehlen, der Erkennung zu entgehen, Persistenz aufzubauen und mit einem C2-Server zu kommunizieren. Er stellt eine erhebliche Bedrohung für die Cybersicherheit dar, da er einzigartige Eigenschaften und Fähigkeiten besitzt. Diese DLLs ermöglichen der Malware zusätzliche Funktionen, wie die Interaktion mit SQLite-Datenbanken, die Verschlüsselung von Daten und die Interaktion mit Mozilla-basierten Anwendungen.

Stealc Ausführungsprozess

Zur Analyse von Stealc können wir sein Beispiel für eine detaillierte Analyse in die ANY.RUN Sandbox hochladen.

Um Systeme zu kompromittieren und sensible Informationen zu stehlen, verwendet Stealc-Malware in der Regel eine mehrstufige Ausführungskette. Der erste Schritt ist das Eindringen in ein Zielsystem auf verschiedenen Wegen, z. B. über Phishing-E-Mails, bösartige Downloads oder das Ausnutzen von Software-Schwachstellen. Einmal im System kann er Persistenzmechanismen einrichten. Diese stellen sicher, dass er auch nach einem Neustart des Systems weiterarbeiten kann. Anschließend erweitert Stealc seine Privilegien zur Erlangung eines umfassenderen Zugriffs auf das System und zur Vermeidung einer Entdeckung.

Zur Verschleierung seiner Präsenz vor Sicherheitssoftware verwendet er häufig Techniken wie Code Injection oder Hooking. Schließlich führt die Malware ihre Hauptfunktion aus, nämlich den Diebstahl von Daten, z. B. Anmeldedaten, Finanzinformationen oder persönliche Dokumente, und deren Weiterleitung an entfernte Server unter der Kontrolle der Angreifer. Um seine Aktivitäten weiter zu verbergen und einer Entdeckung durch Sicherheitsmaßnahmen zu entgehen, kann Stealc Verschlüsselungs- und Verschleierungstechniken einsetzen.

In diesem Beispiel überprüft die Malware die Sprache des Betriebssystems. Anschließend erstellt sie über den Windows-Taskplaner einen geplanten Task, um wiederholt schädlichen Code auszuführen. Die Ausführungskette von Stealc besteht jedoch häufig aus einem einzigen Prozess, der alle schädlichen Aktivitäten ausführt.

Stealc process tree shown in ANY.RUN Stealc Prozessbaum demonstriert in ANY.RUN

Stealc Malware Verbreitungsmethoden

Zur Verbreitung von Stealc-Malware verwenden Angreifer verschiedene Methoden. Die Verwendung gefälschter Websites, auf denen legitime Software zum Download angeboten wird, ist eine der häufigsten Methoden. Benutzerinnen und Benutzer werden zum Herunterladen von Stealc verleitet, anstatt zum Herunterladen des Programms, nach dem sie eigentlich auf der Suche waren.

Schädliche E-Mail-Anhänge sind eine weitere Verbreitungsmethode. Dabei werden Phishing-E-Mails mit bösartigen Anhängen wie Microsoft Office-Dokumenten oder PDF-Dateien verschickt, die die Stealc-Nutzlast enthalten.

Stealc kann auch über Loader verbreitet werden, d.h. über bösartige Programme, die zum Herunterladen und Installieren anderer Malware auf einem kompromittierten System verwendet werden. Beispiel: CrackedCantil, ein Loader, der Stealc und andere Malware wie Lumma, RisePro und RedLine installiert.

Fazit

Beim Stealc handelt es sich um eine hochentwickelte Malware, die sensible Daten stehlen, der Erkennung entgehen und auf kompromittierten Geräten verbleiben kann. Einzelpersonen und Unternehmen müssen proaktive Maßnahmen ergreifen, um sich vor solchen Bedrohungen zu schützen. Eine effektive Lösung hierfür bietet ANY.RUN, eine Online-Sandbox.

Die Sandbox von ANY.RUN bietet eine sichere und isolierte Umgebung, in der Malware-Samples ausgeführt und analysiert werden können. Ohne das eigene System zu gefährden, können Anwender das Verhalten von Malware beobachten. ANY.RUN erstellt detaillierte technische Berichte über Malware-Funktionalität, Kommunikationsmuster und andere wichtige Eigenschaften.

Erstellen Sie Ihr ANY.RUN Konto - es ist kostenlos!

HAVE A LOOK AT

Agent Tesla screenshot
Agent Tesla
agenttesla trojan rat stealer
Agent Tesla ist eine Spyware, die Informationen über die Aktionen ihrer Opfer sammelt, indem sie Tastatureingaben und Benutzerinteraktionen aufzeichnet. Sie wird auf der speziellen Website, auf der diese Malware verkauft wird, fälschlicherweise als legitime Software vermarktet.
Read More
GuLoader screenshot
GuLoader
guloader
GuLoader ist ein fortschrittlicher, in Shellcode geschriebener Downloader. Er wird von Kriminellen verwendet, um andere Malware, vor allem Trojaner, in großem Umfang zu verbreiten. Er ist dafür berüchtigt, dass er Anti-Erkennungs- und Anti-Analyse-Funktionen nutzt.
Read More
LokiBot screenshot
LokiBot
lokibot loader trojan
LokiBot wurde im Jahr 2015 entwickelt, um Informationen aus einer Vielzahl von Anwendungen zu stehlen. Trotz ihres Alters ist diese Malware bei Cyberkriminellen immer noch recht beliebt.
Read More
Remcos screenshot
Remcos
remcos trojan rat stealer
Remcos ist eine Malware vom Typ RAT, mit der Angreifer aus der Ferne Aktionen auf infizierten Computern durchführen können. Diese Malware ist extrem aktiv und wird fast jeden Monat mit Updates auf den neuesten Stand gebracht.
Read More
njRAT screenshot
njRAT
njrat rat bladabindi
njRAT ist ein Trojaner für den Fernzugriff. Es handelt sich um einen der am weitesten verbreiteten RATs auf dem Markt, der eine Fülle von Bildungsinformationen bietet. Interessierte Angreifer können sogar Tutorials auf YouTube finden. Dies macht ihn zu einem der beliebtesten RATs der Welt.
Read More
WannaCry screenshot
WannaCry
wannacry ransomware
WannaCry ist eine bekannte Ransomware, die die EternalBlue-Schwachstelle nutzt. Diese Malware ist dafür bekannt, dass sie mindestens 200.000 Computer weltweit infiziert hat, und sie ist weiterhin eine aktive und gefährliche Bedrohung.
Read More