Das Chrome DevTools Protocol erlaubt es, den internen Datenverkehr und Prozesse im Chrome-Browser zu überwachen. Malware kann dieses Protokoll nutzen, um Netzwerkdaten mitzulesen oder Inhalte zu manipulieren.
Die Bedrohung aus dem Cyberraum verändert sich still und rasant. Während viele Unternehmen ihre Ressourcen auf Phishing, DDoS oder bekannte Ransomware-Kampagnen konzentrieren, etablieren sich neue Angriffsvektoren unter dem Radar der IT-Sicherheitsabteilungen – mit teils verheerenden Folgen.
Ein kürzlich durch Palo Alto Networks aufgedeckter Vorfall zeigt exemplarisch, wie sich durch scheinbar ferne Plattformen wie Discord konkrete Risiken für Unternehmensnetzwerke ergeben. Die Entdeckung eines neuen infostealer-Malwaretyps namens „VVS Stealer“ mit Fokus auf Discord und Browserdaten ist kein Einzelfall. Vielmehr handelt es sich um ein Symptom einer wachsenden Cyberökonomie, in der Automatismen, Verschleierung und Vorspiegelung längst die Domäne von Skript-Kiddies verlassen haben – und organisatorisch betrieben werden.
Dabei spielt weniger die Komplexität der Angriffe eine Rolle, sondern die Leichtigkeit, mit der sie skaliert und vertrieben werden können – häufig über öffentlich zugängliche Kanäle wie Telegram. Unternehmen geraten dabei nicht mehr nur ins Visier als potentielle Opfer. Viel gefährlicher ist: Sie werden zu unwissenden Mittätern in einer kriminellen Infrastruktur.
Was bedeutet das für Sie als CEO, CIO, CISO oder CSO konkret – und wie können Sie Ihr Unternehmen, Ihre Marke und Ihre Supply Chain davor schützen?
VVS Stealer ist ein Python-basierter Informationsdieb, der gezielt auf Discord-Nutzung abzielt. Die Schadsoftware ist ab 10 Euro wöchentlich auf Telegram verfügbar. Schon das lässt aufhorchen: Damit ist VVS einer der kostengünstigsten Stealer am Markt – und damit für eine breite Basis an Tätergruppen leicht zugänglich. Sein Baukasten-Charakter (verschiedene Lizenzpakete von 1 Monat bis Lifetime) und die Nutzung legitimer Werkzeuge wie Pyarmor zur Verschleierung machen die Malware attraktiv für technisch weniger versierte, aber hoch motivierte Gruppen.
Die Angriffskette beginnt mit der Distribution über verschleierte EXE-Dateien (verpackt mittels PyInstaller) und endet in einem System, das bei jedem Reboot neue Pforten für den Angreifer öffnet. Die Malware sorgt eigenständig für Persistenz durch Eintragungen im Autostart des Windows-Betriebssystems. Ist sie erst einmal aktiv, beginnt sie mit dem Diebstahl wertvoller Informationen – darunter:
Besonders perfide ist eine Funktion, die aktive Sitzungen der Discord-App kapert. Um dies zu ermöglichen, nutzt VVS Stealer eine sogenannte Injection: Erst wird Discord abgeschaltet und anschließend eine manipulierte JavaScript-Datei aus dem Web geladen. Diese späht anschließend den Netzwerkverkehr der App über das Chrome DevTools Protocol aus.
Das Ergebnis: Eine laufende Sitzung kann manipuliert, ausgenutzt und übernommen werden – der Angreifer übernimmt sprichwörtlich die digitale Identität des Nutzers. Wenn Discord beispielsweise für interne Kommunikation, Community-Management oder Entwicklerzugänge genutzt wird, entsteht ein erhebliches Risiko für Datenlecks oder Impersonation-Angriffe.
Ein besonders beunruhigender Aspekt dieser Bedrohung: Opferorganisationen werden selbst zu Malware-Verteilern – ohne es zu ahnen.
Wie Sicherheitsforscher von Hudson Rock berichten, nutzen Cyberkriminelle gestohlene Administrator-Zugangsdaten von Unternehmen, um deren Webserver und Domains zur Verbreitung von Malware zu instrumentalisieren. Diese Form des Missbrauchs firmeneigener Infrastruktur – z. B. über kompromittierte FTP-, CMS- oder SFTP-Zugänge – ist nicht nur schädlich für die Datenintegrität. Sie zerstört auch das Markenvertrauen bei Partnern, Kunden – und Suchmaschinen.
Dabei geraten Unternehmen in einen circulus vitiosus: Erst werden Anmeldedaten gestohlen, dann wird die eigene IT zum Einfallstor einer Schadsoftware, die dieselben Methoden skaliert. Die Malware verteilt sich also nicht mehr nur über kriminelle Command-and-Control-Server, sondern über eigentlich vertrauensvolle Domains – ein Paradebeispiel für Supply-Chain-Risiken im digitalen Kontext.
Traditionelle Sicherheitsmechanismen geraten bei dieser Bedrohungslage an ihre Grenzen. Der Einsatz von Pyarmor als Obfuskationstool erlaubt es, den Quelltext der Python-Skripte so zu verschleiern, dass gängige Antiviren-Programme oder Signaturbasierte Scanner wenig ausrichten können.
Hinzu kommt die „Low & Slow“-Taktik: Durch minimale Systemressourcennutzung und einfache Dialogfenster (z. B. „Fatal Error – Bitte starten Sie den PC neu“) bleibt VVS unauffällig. Der Nutzer glaubt an ein temporäres Systemproblem – in Wahrheit hat der Angriff bereits begonnen.
Diese Angriffsmechanismen sind nicht rein technischer Natur. Ihr Kernelement liegt in Täuschung, Prozessausnutzung und fehlender Kontrolle über Schatteninfrastrukturen. Für Sie als Unternehmensentscheider geht es daher nicht um punktuelle Technikkorrekturen – sondern um strategische Kontrollmechanismen auf vier Ebenen:
Während viele Sicherheitsanbieter auf technologische Patching oder tool-zentrierte Endpunktlösungen setzen, geht ProSec einen ganzheitlichen Weg: Als Experten für technische Informationssicherheit, wirtschaftskriminalistische Aufklärung und Industriespionagebekämpfung verstehen wir die vielschichtige Bedrohungslandschaft besser als jeder andere.
Wir helfen Unternehmen – vom Mittelstand bis zum Konzern – bei folgenden konkreten Maßnahmen:
Unsere Red Team-Methodik kombiniert realistische Angreiferstrategien mit legalem Vorgehen – so entdecken wir Schwachstellen bevor Täter sie ausnutzen.
Und: Als unabhängiger Partner vertreten wir ausschließlich Ihre Interessen – nicht die eines Toolherstellers.
Wer heute noch glaubt, dass externe Kommunikations- oder Chatplattformen wie Discord nur „private Spielwiesen“ von Mitarbeitenden sind, verkennt die wachsende Verflechtung privater und beruflicher IT-Sphären. Informationsdiebstahl – sogar in Form von simplen €10-Abonnements – wird zur Organisationsgefahr, die Unternehmen in Geiselhaft zwischen Kontrollverlust und Vertrauensbruch bringt.
Je schneller Führungskräfte diesen Realitätswechsel erkennen und in ihre Sicherheitsarchitektur einbauen, desto geringer der Schaden, desto höher die Resilienz im digitalen Raum.
ProSec steht Ihnen dabei als engagierter, methodensicherer und erfahrener Partner zur Seite.
Infostealer sind Schadprogramme, die darauf ausgelegt sind, Informationen wie Passwörter, Login-Daten, Cookies oder Autofill-Daten von infizierten Systemen zu stehlen – meist unbemerkt im Hintergrund.
Obfuskation bezeichnet das absichtliche Verschleiern von Code, etwa um eine Analyse zu erschweren. Dies schützt die Malware vor Aufdeckung durch signaturbasierte Antivirenprogramme und Reverse Engineering.
Bei einer Discord Injection wird aktiver Code in die Prozesse der Discord-App eingeschleust, um die laufende Sitzung zu verändern oder zu übernehmen. Ziel ist die Kontrolle über den Account des Nutzers.
Schatten-IT umfasst alle IT-Systeme, Anwendungen oder Dienste, die ohne Wissen und Freigabe der IT-Abteilung in einem Unternehmen genutzt werden – z. B. private Cloudspeicher oder Messenger-Installationen.
Das Chrome DevTools Protocol erlaubt es, den internen Datenverkehr und Prozesse im Chrome-Browser zu überwachen. Malware kann dieses Protokoll nutzen, um Netzwerkdaten mitzulesen oder Inhalte zu manipulieren.
