Gremlin Stealer tarnt sich in .NET-Ressourcen: Neue Obfuskationstechniken im Überblick

2026
03.06

Die Infostealer-Malware Gremlin Stealer entwickelt sich rasant weiter und setzt inzwischen auf ausgefeilte Obfuskationstechniken, um ihre Payloads in .NET-Ressourcendateien zu verstecken. Ein aktueller Ableger nutzt einen kommerziellen Packer mit Instruktionsvirtualisierung, verschleiert Konfiguration und API-Aufrufe per XOR und String-Verschlüsselung und fokussiert sich zunehmend auf Krypto-Diebstahl, Session-Hijacking und die Monetarisierung gestohlener Daten.

Neuer Exfiltrations-Endpunkt und Datenbündelung

Auf Basis interner Threat-Intelligence-Daten wurde eine neue Gremlin-Variante identifiziert, die ihre Beute an eine frisch aufgesetzte Infrastruktur exfiltriert. Die Malware sammelt unter anderem Browser-Cookies, Session-Tokens, Inhalte der Zwischenablage, Kryptowallet-Daten sowie FTP- und VPN-Zugangsdaten und packt diese in ein ZIP-Archiv. Zur eindeutigen Zuordnung wird das Archiv nach der öffentlichen IP-Adresse des Opfers benannt und anschliessend an einen vom Angreifer kontrollierten Server hochgeladen.

Auffällig ist, dass diese Infrastruktur zum Zeitpunkt der Entdeckung auf gängigen Analyseplattformen noch keinerlei Erkennungen oder Community-Meldungen aufwies. Weder blocklist-basierte Mechanismen noch heuristische Kategorisierungen griffen, was die Bedeutung aktueller Threat-Intelligence und verhaltensbasierter Erkennung unterstreicht.

Payload-Versteck in .NET-Ressourcen

Die jüngste Gremlin-Generation legt den Schwerpunkt klar auf Tarnung gegenüber statischer Analyse. Statt den Schadcode direkt im ausführbaren Codebereich abzulegen, wird die eigentliche Payload in den .NET-Resource-Abschnitt verschoben und dort mit einem einfachen XOR-Verfahren verschleiert. Für klassische Signatur-Scanner wirkt dieser Bereich wie ein homogener Datenblock ohne offensichtliche Indikatoren wie verdächtige Strings oder API-Aufrufe.

Durch Anwendung einer Ein-Byte-XOR-Routine lässt sich die Konfiguration jedoch wiederherstellen. Dabei treten fest kodierte Command-and-Control-URLs und Exfiltrationspfade zutage. Mit dieser Technik reiht sich Gremlin Stealer in eine Reihe bekannter Malware-Familien ein, die Ressourcenabschnitte für Payload-Obfuskation nutzen, etwa Agent Tesla, GuLoader, LokiBot oder Quasar RAT.

Vergleich: Alte vs. neue Gremlin-Variante

Ein Vergleich älterer und aktueller Samples zeigt eine deutliche Professionalisierung der Anti-Analyse-Massnahmen. Frühere Varianten verzichteten weitgehend auf Obfuskation; Funktionsnamen und interne Symbole waren im Klartext vorhanden und erleichterten die statische Analyse. Die aktuelle Version setzt dagegen auf ein gestuftes Ladeverfahren: Kritische Funktionen werden erst zur Laufzeit aus dem Ressourcenbereich entschlüsselt und in den Speicher gemappt.

Diese On-Demand-Entschlüsselung zwingt Analysten zu dynamischem Debugging, um aussagekräftiges Verhalten beobachten zu können. Statische Werkzeuge sehen primär generischen Code und verschleierte Ressourcen, während die eigentliche Logik erst im laufenden Prozess sichtbar wird.

Funktionale Aufrüstung: Von Credential-Stealer zu Toolkit

Parallel zur technischen Tarnung hat sich auch der Funktionsumfang von Gremlin Stealer erweitert. Neben klassischen Credential-Stealing-Funktionen treten neue Module, die auf digitale Identitäten und direkte finanzielle Schäden abzielen:

Erweiterter Zielkatalog: Ein dediziertes Modul extrahiert Discord-Tokens und erweitert damit den Fokus von reinen Zugangsdaten hin zu Identitäts- und Social-Engineering-Potenzial.
Krypto-Clipper: Die Malware überwacht kontinuierlich die Zwischenablage auf Muster, die Kryptowallet-Adressen entsprechen. Wird eine passende Zeichenfolge gefunden, ersetzt Gremlin Stealer diese im laufenden Transaktionsprozess durch eine Wallet-Adresse des Angreifers.
WebSocket-basiertes Session-Hijacking: Ein weiteres Modul ermöglicht es, aktive Browsersitzungen zu kapern, indem Daten direkt aus laufenden Browser-Prozessen angefragt werden. Damit lassen sich moderne Cookie-Schutzmechanismen umgehen, ohne zwingend auf gespeicherte Cookies zugreifen zu müssen.

Kommerzieller Packer und Instruktionsvirtualisierung

Eine untersuchte Probe ist zusätzlich mit einem komplexen kommerziellen Packer geschützt. Dieser transformiert den ursprünglichen Maschinencode in ein proprietäres Bytecode-Format, das von einer eingebetteten virtuellen Maschine interpretiert wird. Für Analysten bedeutet dies, dass klassische Disassembler nur noch den VM-Interpreter und dessen Sprunglogik sehen, nicht jedoch den ursprünglichen Programmfluss.

Solche Packer erschweren nicht nur die statische Analyse, sondern auch automatisierte Sandbox-Auswertungen. Viele generische Entpacker scheitern an der Kombination aus Instruktionsvirtualisierung, Anti-Debugging und verschlüsselten Ressourcen, sodass der eigentliche Payload erst nach aufwendiger manueller Rekonstruktion sichtbar wird.

Code-Obfuskation: Umbenennung und String-Verschlüsselung

Zusätzlich zur Ressourcenverschleierung setzt Gremlin Stealer auf klassische Code-Obfuskation. Ein zentrales Element ist die systematische Umbenennung von Klassen, Methoden und Variablen. Aussagekräftige Bezeichner werden durch kurze, bedeutungslose Namen ersetzt. Aus einer Funktion mit sprechendem Namen wird beispielsweise lediglich a(), aus einer zentralen Orchestrator-Klasse ein generisches Kürzel.

Parallel dazu werden alle sicherheitsrelevanten Strings verschlüsselt in einer eingebetteten Ressource abgelegt. Statt Klartext-Begriffen wie password oder konkreten URLs finden sich im Code nur numerische Parameter, die an eine Decoder-Funktion übergeben werden. Diese berechnet Offsets und Längen, liest die entsprechenden Bytes aus der Ressource und entschlüsselt sie zur Laufzeit. Für statische Analysen existieren die eigentlichen Strings damit faktisch nicht.

Implikationen für Verteidiger

Die Kombination aus Ressourcen-basiertem Payload-Hiding, Instruktionsvirtualisierung, String-Verschlüsselung und modularen Diebstahlsfunktionen zeigt, dass Gremlin Stealer den Schritt von einem einfachen Credential-Stealer zu einem flexiblen, gewinnorientierten Toolkit vollzogen hat. Signaturbasierte Verfahren geraten hier schnell an ihre Grenzen; erforderlich sind verhaltensbasierte Erkennung, Telemetrie über Netzwerk- und Endpoint-Ebenen hinweg sowie eine kontinuierliche Auswertung aktueller Threat-Intelligence.

Für Organisationen bedeutet dies, dass Schutzmassnahmen nicht nur auf bekannte Indikatoren und statische Merkmale setzen dürfen. Entscheidend ist die Fähigkeit, ungewöhnliche Exfiltrationsmuster, verdächtige Ressourcenzugriffe und atypische Clipboard- oder Browser-Interaktionen zu erkennen und zu korrelieren.

Fazit

Gremlin Stealer illustriert exemplarisch, wie sich Infostealer in Richtung hochgradig verschleierter, modularer Plattformen entwickeln. Das Verstecken der Payload in .NET-Ressourcen, der Einsatz eines kommerziellen Packers mit Instruktionsvirtualisierung und die konsequente Obfuskation von Code und Strings erschweren sowohl statische als auch dynamische Analysen. Gleichzeitig steigt das Schadpotenzial durch Funktionen wie Krypto-Clipper und WebSocket-basiertes Session-Hijacking deutlich an.

Verteidiger sind gefordert, ihre Erkennungs- und Reaktionsfähigkeiten auf diese neue Qualität von Stealer-Malware auszurichten – mit Fokus auf verhaltensbasierte Analysen, integrierte Netzwerk- und Endpoint-Sicht und eine enge Anbindung an aktuelle Threat-Intelligence-Quellen.

Hinweis: Dieser Beitrag wurde mit Unterstützung eines KI-gestützten Assistenten erstellt (KI-Schattenartikel).

Quelle: https://unit42.paloaltonetworks.com/gremlin-stealer-evolution/

IP Address	216.73.217.162
Platform
Cookie Enabled
Browser Name
Browser Version
Browser Language
Java Enabled
Screen Width
Screen Height

||||The.Fischerman.CH

Bit's and Byte's from the world of computer science