DE EN
Standorte | Kontakt | Impressum | AGB | Datenschutz | Public Key

©2026 Controlware GmbH

Von 3D-Modellen bis hin zu StealC ...

Wie Cyberkriminelle printables.com nutzen, um den StealC-Stealer zu verbreiten

Anfang April identifizierte das Controlware Computer Security Incident Response Team (CSIRT) eine Malware-Kampagne über printables.com, einer weit verbreiteten Plattform zum Austausch von 3D-Druckvorlagen. Im Rahmen der Kampagne – die über neu erstellte Konten durchgeführt wurde – laden sich Nutzer nicht nur ihr gewünschtes 3D-Modell herunter. Das ZIP-Archiv enthält auch eine textbasierte Anleitung, die die Opfer durch Social Engineering dazu verleitet, bösartigen Code auf ihren Systemen auszuführen.

Technischer Background

Die .txt-Datei aus dem genannten Archiv weist den Nutzer an, den Windows-Dialog „Ausführen“ zu öffnen und einen angegebenen Befehl auszuführen – eine klassische Anwendung der ClickFix-Methode. Führt das Opfer diesen Befehl aus, wird der StealC Stealer auf das Zielsystem übertragen. Dazu nutzen die Angreifer Pyramid, einen Open-Source-HTTP-Server auf Python-Basis. Die Malware wird anschließend entschlüsselt und direkt im Speicher ausgeführt – mithilfe von PythonMemoryModule, einer reinen Python-Implementierung der MemoryModule-Technik, mit der eine .dll- oder eine nicht verwaltete .exe-Datei vollständig aus dem Speicher geladen werden kann. Dadurch konnten die Angreifer vermeiden, die Payload auf die Festplatte zu schreiben.

Welchen Schaden verursacht der StealC Stealer?

Die Malware StealC ist darauf ausgelegt, eine Reihe hochsensibler Informationen zu sammeln und diese verschlüsselt an einen Command-and-Control-Server zu schicken. Zu den von ihr anvisierten Daten gehören unter anderem:
 

- Browser-Anmeldedaten

- Daten von Krypto-Wallets

- Steam-Konten

- Outlook-Anmeldedaten

- VPN- und FTP-Client-Daten

- Informationen zu Telegram- und Discord-Konten

- Systeminformationen
 

Neben der Sammlung umfangreicher Anmeldedaten betreibt StealC also auch System-Profiling über das infizierte Gerät und ist sogar in der Lage, Screenshots anzufertigen. Der Schaden für das Opfer kann dementsprechend enorm sein.

Vollständige Analyse in unserem Research-Bericht

In unserem vollständigen Threat-Report analysieren wir die Kampagne detailliert – von den bösartigen Konten, über den genauen technischen Ablauf bis zur Erkennung und dem MITRE ATT&CK Mapping – und geben konkrete Empfehlungen für die Cyber-Abwehr. 

Den vollständigen Bericht mit allen technischen Details können Sie hier laden.

Bei der weiteren Untersuchung sind wir außerdem auf eine zweite Payload gestoßen, die einen Remote-Access-Trojaner (RAT) in einer völlig neuen Art und Weise mit Browser-Hijacking kombiniert.