REMUS entwickelt sich zu einer neuen Malware‑as‑a‑Service‑Bedrohung für digitale Identitäten
Der REMUS‑Infostealer gilt als Weiterentwicklung des Lumma‑Stealers und hat sich zu einer kommerzialisierten Malware‑as‑a‑Service‑Plattform entwickelt, die Sessions, Tokens und Zugangsdaten stiehlt. Neue Funktionen zielen auf Passwort‑Manager‑Erweiterungen wie 1Password, LastPass und Bitwarden sowie auf Session‑ und...
What does the latest research reveal about how the REMUS infostealer has evolved from Lumma Stealer’s successor into a full malware-as-a-serSecurity researchers say the REMUS infostealer represents a new generation of identity‑focused malware targeting browser sessions, password managers, and authentication tokens.
KI-Prompt
Create a landscape editorial hero image for this Studio Global article: What does the latest research reveal about how the REMUS infostealer has evolved from Lumma Stealer’s successor into a full malware-as-a-ser. Article summary: REMUS appears to have moved from a Lumma-like successor into a commercialized, fast-evolving Malware-as-a-Service platform focused on identity theft rather than simple password scraping. The larger shift is that 2026 inf. Topic tags: general, general web. Reference image context from search candidates: Reference image 1: visual subject "Attack flow diagram displaying the Lumma Stealer affiliate using the ClickFix technique to socially engineer users to ultimately download and deploy Lumma on their device, which ex" source context "Lumma Stealer: Breaking down the delivery techniques and capabilities of a prolific infostealer | Microsoft Security Blo" Reference
openai.com
Infostealer‑Malware war lange relativ simpel: Sie sammelte gespeicherte Browser‑Passwörter oder Kryptowallet‑Daten und übermittelte diese an Angreifer. Doch eine neue Generation dieser Schadsoftware geht deutlich weiter – sie zielt auf digitale Identitäten selbst.
Aktuelle Sicherheitsanalysen zeigen, dass sich der REMUS‑Infostealer rasant weiterentwickelt hat: von einem Lumma‑ähnlichen Credential‑Stealer hin zu einer strukturierten Malware‑as‑a‑Service‑Plattform (MaaS), die Browser‑Sessions, Authentifizierungs‑Tokens und sogar Daten aus Passwort‑Manager‑Tresoren stehlen kann. Damit kann ein einzelner infizierter Rechner sehr schnell zum Einstiegspunkt für umfangreiche Kontoübernahmen in Unternehmen werden.
Von Lumma Stealer zu REMUS
REMUS steht technisch in enger Verbindung mit Lumma Stealer, einer bekannten Infostealer‑Familie, die seit mindestens 2022 in Untergrundforen als Malware‑as‑a‑Service angeboten wird.
Forscher beobachteten erste aktive Kampagnen mit REMUS Anfang 2026. Viele technische Eigenschaften ähneln Lumma – darunter String‑Obfuskation, Anti‑Virtual‑Machine‑Prüfungen und andere Techniken, die Analyse und Erkennung erschweren sollen.
Studio Global AI
Search, cite, and publish your own answer
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
Wie lautet die kurze Antwort auf „REMUS entwickelt sich zu einer neuen Malware‑as‑a‑Service‑Bedrohung für digitale Identitäten“?
Der REMUS‑Infostealer gilt als Weiterentwicklung des Lumma‑Stealers und hat sich zu einer kommerzialisierten Malware‑as‑a‑Service‑Plattform entwickelt, die Sessions, Tokens und Zugangsdaten stiehlt.
Was sind die wichtigsten Punkte, die zuerst validiert werden müssen?
Der REMUS‑Infostealer gilt als Weiterentwicklung des Lumma‑Stealers und hat sich zu einer kommerzialisierten Malware‑as‑a‑Service‑Plattform entwickelt, die Sessions, Tokens und Zugangsdaten stiehlt. Neue Funktionen zielen auf Passwort‑Manager‑Erweiterungen wie 1Password, LastPass und Bitwarden sowie auf Session‑ und Token‑Diebstahl, der MFA‑Schutzmechanismen umgehen kann.
Was soll ich als nächstes in der Praxis tun?
Die Entwicklung zeigt einen größeren Trend: Moderne Infostealer greifen nicht mehr nur Passwörter an, sondern komplette digitale Identitäten und authentifizierte Sitzungen.
Statt Lumma vollständig zu ersetzen, scheint REMUS eher eine Weiterentwicklung oder Abspaltung innerhalb desselben Ökosystems zu sein. Beide Malware‑Familien wurden zeitweise parallel in realen Angriffen beobachtet.
Kommerzialisierung als Malware‑as‑a‑Service
Analysen von Untergrundforen zeigen, dass REMUS offenbar als kommerzieller MaaS‑Dienst entwickelt und vertrieben wird. Dadurch können mehrere Bedrohungsakteure die Malware in ihren Kampagnen einsetzen.
Forscher identifizierten über hundert Forenbeiträge, die zwischen Februar und Mai 2026 mit dem REMUS‑Ökosystem in Verbindung standen.
Diese Kommerzialisierung hat eine klare Folge: Schadsoftware lässt sich schneller verbreiten und skalieren. Was früher ein einzelnes Malware‑Projekt gewesen wäre, kann so zu einer breit eingesetzten Plattform für Datendiebstahl werden.
Angriff auf Passwort‑Manager
Eine der alarmierendsten Neuerungen ist REMUS’ Fähigkeit, Browser‑Erweiterungen von Passwort‑Managern anzugreifen.
Berichten zufolge kann die Malware Daten aus Erweiterungen von Diensten wie folgenden sammeln:
1Password
LastPass
Bitwarden
Die Informationen werden unter anderem aus Browser‑Speicherstrukturen wie IndexedDB extrahiert, die Erweiterungen für verschlüsselte Vault‑Daten oder operative Metadaten nutzen.
Selbst wenn der eigentliche Tresor verschlüsselt bleibt, können gestohlene Metadaten, Tokens oder Sitzungsinformationen Angreifern helfen, weitere Zugriffe vorzubereiten.
Passwort‑Manager sind besonders attraktive Ziele, weil sie oft Zugangsdaten zu zahlreichen Systemen bündeln, etwa:
SaaS‑Dienste
Administrationskonten
VPN‑Zugänge
Entwickler‑Infrastruktur
private Accounts
Ein kompromittierter Arbeitsplatz kann dadurch eine viel größere Anzahl digitaler Identitäten offenlegen als klassischer Browser‑Passwortdiebstahl.
Session‑ und Token‑Diebstahl statt Passwortangriff
Eine weitere wichtige Entwicklung ist der Fokus auf Session‑ und Token‑Diebstahl.
Moderne Infostealer wie REMUS versuchen nicht mehr nur Login‑Daten zu sammeln. Stattdessen greifen sie bereits authentifizierte Zustände ab, darunter:
Browser‑Cookies
Authentifizierungs‑Tokens
aktive Anwendungssitzungen
Da diese Daten einen bereits bestätigten Login repräsentieren, können Angreifer sie oft wiederverwenden, ohne einen neuen Login auszulösen – und damit viele Multi‑Factor‑Authentication‑(MFA)‑Kontrollen umgehen.
Der Zeitraum zwischen Infektion und erfolgreichem Zugriff auf Unternehmenssysteme kann dadurch drastisch schrumpfen.
EtherHiding‑Infrastruktur
Auch bei der Infrastruktur setzt REMUS auf neue Methoden, um seine Steuerung schwerer blockierbar zu machen.
Forscher berichten vom Einsatz von EtherHiding. Dabei werden Konfigurationsdaten für Command‑and‑Control‑Server in Ethereum‑Smart‑Contracts gespeichert.
Statt feste Domains zu kontaktieren, kann die Malware ihre Anweisungen über Blockchain‑basierte Mechanismen abrufen. Da Blockchain‑Einträge dezentral gespeichert sind und kaum entfernt werden können, erschwert dies Abschaltungen und Infrastruktur‑Takedowns erheblich.
Vergleich: Die Entwicklung des Gremlin Stealers
REMUS ist nicht der einzige Infostealer, der sich schnell weiterentwickelt. Sicherheitsforscher beobachten auch Fortschritte beim Gremlin Stealer.
Eine neue Variante dieses Malware‑Typs hat sich von einem einfachen Credential‑Harvester zu einem modularen Toolkit entwickelt, das zusätzliche Funktionen und stärkere Tarnmechanismen besitzt.
Analysen von Palo Alto Networks Unit 42 zeigen, dass neuere Versionen eine spezielle Pack‑Technologie mit Instruktions‑Virtualisierung verwenden. Dabei wird der ursprüngliche Code in ein proprietäres Bytecode‑Format umgewandelt, das von einer internen virtuellen Maschine ausgeführt wird – ein Ansatz, der Reverse Engineering deutlich erschwert.
Kurz gesagt verfolgen die beiden Malware‑Familien unterschiedliche Schwerpunkte:
REMUS: Fokus auf Identitätsdiebstahl im großen Maßstab, Session‑Hijacking und MaaS‑Vertrieb.
Gremlin: Fokus auf Tarnung, Anti‑Analyse‑Techniken und modulare Erweiterbarkeit.
Beide Entwicklungen zeigen jedoch denselben Trend: Infostealer werden schneller, flexibler und schwerer zu erkennen.
Der größere Trend: Identitäten als Hauptziel
Die Entwicklung von REMUS spiegelt einen grundlegenden Wandel in der Cyberkriminalität wider.
Angreifer konzentrieren sich zunehmend nicht mehr nur auf Passwörter, sondern auf komplette authentifizierte Umgebungen – inklusive Sessions, Tokens und gespeicherter Identitätsdaten.
Die Dimension des Problems ist bereits enorm. Sicherheitsanalysen zufolge wurden im Jahr 2025 rund 1,8 Milliarden Zugangsdaten durch Infostealer gestohlen.
Konsequenzen für Unternehmen
Für Sicherheitsverantwortliche ergeben sich mehrere wichtige Erkenntnisse:
Endpoint‑Kompromittierung wird schnell zu Identitäts‑Kompromittierung. Gestohlene Sessions ermöglichen sofortigen Zugriff.
MFA allein reicht nicht mehr aus. Token‑Wiederverwendung und Session‑Hijacking können Schutzmechanismen umgehen.
Credential‑Vaults werden zu Hochwertzielen. Passwort‑Manager bündeln große Mengen sensibler Zugangsdaten.
Unternehmen setzen daher zunehmend auf zusätzliche Maßnahmen wie Session‑Widerruf, Geräte‑Vertrauensmodelle, Endpoint‑Detection‑and‑Response‑Tools und Monitoring ungewöhnlicher Authentifizierungsaktivitäten.
Fazit
Der REMUS‑Infostealer zeigt, wie schnell sich das Infostealer‑Ökosystem weiterentwickelt. Aus einem Lumma‑ähnlichen Credential‑Stealer ist eine skalierbare Malware‑as‑a‑Service‑Plattform für Identitätsdiebstahl geworden.
Zusammen mit Entwicklungen bei Malware wie Gremlin wird ein Trend deutlich: Angreifer stehlen nicht mehr nur Passwörter – sie stehlen bereits authentifizierten Zugriff.
Für Unternehmen bedeutet das, dass Sicherheitsvorfälle heute wesentlich schneller eskalieren können: Eine einzige kompromittierte Arbeitsstation kann innerhalb von Minuten oder Stunden zu einer großflächigen Kontoübernahme führen.
csoonline.comPassword managers under increasing threat as infostealers triple ...
Comments
0 comments