In den letzten Monaten eine Infostealer Kampagne genannt REMUS die über ihren Code hinaus einen beunruhigenden Trend zeigt: kriminelle Operationen werden professionelle kommerzielle Plattformen. Technische Analyse hat Ähnlichkeiten mit den Lumma Stealer und Fähigkeiten wie Anti-VM-Kontrollen, Cookie-Diebstahl und Browser-Token gezeigt; aber durch die Beobachtung der Foren und Publikationen des Betreibers können Sie etwas relevanter für Verteidiger und Sicherheitsbeamte sehen: eine klare Straßenkarte, Versionen, Kundenunterstützung und operative Metriken, die Malware zu einem kontinuierlich entwickelten Service machen.
Was REMUS unterscheidet, ist nicht nur die Extraktion von traditionellen Anmeldeinformationen, sondern die Priorisierung von authentifizierte Sitzungen und Browser-Artefakte(Cookies, Tokens, IndexedDB-Erweiterungen). Dieser Ansatz ermöglicht Angreifern, bereits validierten Zugriff wieder zu verwenden, oft durch die Vermeidung von Kontrollen wie MFA oder Login-Anomalien, und so sind die gestohlenen Sitzungen zu einer hochwertigen Währung im heimischen Markt geworden. Flare und andere Beobachter haben dokumentiert, wie der Schauspieler "Restore" und Proxy-Unterstützungsfunktionen hinzugefügt hat, um gestohlene Sitzungen zu pflegen und wiederzuverwenden (Quelle: Flammen)
Aus betrieblicher Sicht illustriert REMUS die Fragmentierung des MaaS-Ökosystems: Entwickler, Betreiber und Distributoren können Kampagnen mit Management-Panels, "Arbeiter"-Tracking und Filtern auf die Priorisierung wertvoller Logos spezialisiert und skaliert werden. Diese Arbeitsteilung erhöht die Beharrlichkeit und die Fähigkeit, langfristige Daten zu monetarisieren, und reduziert die technische Reibung für Käufer ohne fortgeschrittenes Wissen, was das Risiko für Organisationen aller Größen erhöht.
Die Auswirkungen auf die Unternehmenssicherheit sind klar: nicht genug, um Passwörter zu schützen. Systeme, die sich nur auf statische Anmeldeinformationen oder MFA verlassen, die durch die Session Restaurierung weggelassen werden können, sind gefährdet. Spezifische Plattformen wie Discord, Steam, Riot oder Telegram-verknüpfte Dienste erscheinen in den Berichten über den operativen Wert ihrer Sitzungen, die Spielunternehmen, Online-Communities und Dienstleistungen mit internen Volkswirtschaften betreffen.
In der Praxis muss die defensive Antwort technische, politische und aktive Nachweiskontrollen kombinieren. Technisch ist es wichtig, sichere Cookie-Attribute (HtpOnly, Secure, SameSite) anzuwenden, die Beharrlichkeit von Token zu reduzieren, gerätegebundene Token zu verwenden und moderne Authentifizierungsmechanismen wie FIDO2 oder Hardwareschlüssel vorzuziehen; offizielle Identitätssicherheitsempfehlungen, wie NIST auf Authentifizierung, sind ein guter Ausgangspunkt ( NIST SP 800-63B)
Zur Erkennung und Vermittlung: Durchführung der Überwachung von aktiven Sitzungen und Kontextänderungsalarmen (IP, Geolokation, Browser Fingerabdruck), ungültige Token im Angesicht des Verdachts und bieten verbindliche Umauthentifizierungsströme, wenn die Wiederherstellung von Proxys oder unbekannten Geräten erkannt wird. EDR-Lösungen und Browser-Schutzplattformen können helfen, Treiber zu erkennen und zu blockieren, kryptisieren und verdächtige Hinrichtungen verwendet, um Stealer bereitzustellen.
Im Bereich des Passwort- und Managermanagements reicht es nicht aus, sich auf die Browsererweiterung zu verlassen: die Verwendung von nativen Managern oder Anwendungen mit starker Verschlüsselung fördern den Zugang zu Maults mit MFA zu schützen und Strategien zu beachten, die das Risiko der Exposition von IndexedDB und anderen lokalen Lagern mindern. Produktausrüstung sollte Praktiken überprüfen, die Anmeldeinformationen oder Token im Kunden speichern und auf serverseitige Mechanismen mit ephemeralen Tokens migrieren, wenn möglich.
Auch die tiefe Intelligenz und Überwachung der illegalen Märkte haben Bedeutung gewonnen: Wissen, welche Daten verkauft werden und frühzeitige Leckagen erkennen, kann einen Unterschied machen. Tools, die Stealerprotokolle sammeln und analysieren, ermöglichen es Organisationen, Expositionen zu identifizieren, bevor sie für persistenten Betrug oder Zugang verwendet werden; öffentliche Berichte über REMUS und seine Entwicklung, wie z.B. Community-Analyse, helfen dabei, Taktiken und Ziele zu kontextualisieren (technisches Beispiel in SOC Prime)
Schließlich bleiben Governance und Training entscheidend. Unternehmen sollten Sitzungsrichtlinien überprüfen, standardmäßige Privilegien begrenzen, kritische Anmeldeinformationen regelmäßig drehen und Benutzer auf Phishing-Risiken und Stehlenliefervektoren trainieren. Wenn es einen Verdacht auf Engagement gibt, ist die Priorität, die Beharrlichkeit zu reduzieren: Rucksitzungen, Drehschlüssel, analysieren Treiber und koordinieren mit Identitäts- und Sicherheitsanbietern, um Auswirkungen zu mindern.
REMUS ist eine Erinnerung daran, dass moderne Sicherheit mehr über den Lebenszyklus des Zugangs als das Passwort selbst nachdenken muss: kriminelle Operationen werden professionalisiert und versuchen, die Nützlichkeit jeder gestohlenen Daten zu maximieren. Die Anpassung der technischen Kontrollen, Reaktionsprozesse und Erkennungsmodelle an diese Realität ist die beste Verteidigung gegen diese neue Generation von Infostealern.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...