VVS Stealer und GlassWorm: Cyberangriffe starten 2026 mit neuer Wucht

Die ersten Tage des Jahres 2026 markieren einen Wendepunkt in der Cybersicherheit. Cyberkriminelle verlagern ihren Fokus vom Passwort-Diebstahl zum massenhaften Missbrauch von Session-Tokens. Gegen diese neue Angriffswelle ist selbst die bewährte Zwei-Faktor-Authentifizierung (MFA) oft machtlos.

VVS Stealer: Die unsichtbare Gefahr für Browser und Discord

Die signifikanteste neue Bedrohung ist der VVS Stealer. Sicherheitsforscher entdeckten die hochkomplexe Malware in den ersten Januartagen. Sie tarnt sich durch massive Verschleierung ihres Codes und entgeht so vielen Virenscannern.

Einmal auf einem System, agiert der VVS Stealer aggressiv:
* Er extrahiert Session-Tokens, Cookies und Passwörter aus Browsern wie Chrome und Firefox.
* Er injiziert bösartigen Code in den Discord-Client, um aktive Chatsitzungen zu übernehmen.
* Angreifer erhalten so Zugriff auf private Nachrichten, Zahlungsdaten und Server-Administratorrechte.

Die Malware wird bereits als „Malware-as-a-Service“ in Telegram-Kanälen vertrieben. Experten befürchten eine rasante Verbreitung.

GlassWorm: Gezielte Angriffe auf macOS-Entwickler

Parallel dazu eskaliert die „GlassWorm“-Kampagne. Sie zielt gezielt auf eine technisch versierte Gruppe: Entwickler, die auf macOS mit Visual Studio Code arbeiten.

Passend zum Thema aktuelle Malware-Kampagnen: Wenn Angreifer Session-Tokens und Entwickler-Tools kompromittieren, reicht ein Passwort nicht mehr. Das kostenlose Anti-Phishing-Paket zeigt in einer 4‑Schritte-Anleitung, wie Unternehmen und IT-Verantwortliche Phishing, trojanisierte Erweiterungen und Schadsoftware-Aufspürung wirksam verhindern – inklusive konkreter Präventionsmaßnahmen für Teams und Entwickler. Praktische Checklisten helfen bei der schnellen Umsetzung. Anti-Phishing-Paket gratis herunterladen

Die Angreifer missbrauchen das Vertrauen in Open-Source-Erweiterungen. Trojanisierte Tools stehlen nach der Installation Session-Tokens und kryptografische Schlüssel aus Wallets. Da Entwickler oft weitreichende Zugriffe haben, wird ihr kompromittierter Laptop zum Einfallstor für tiefgreifende Unternehmenshacks.

Ein verwandter Vorfall erschütterte bereits Ende Dezember die Krypto-Branche: Eine manipulierte Version der Trust Wallet Browser-Erweiterung führte zum Verlust von rund 8,5 Millionen US-Dollar. Dies unterstreicht: Selbst offizielle Update-Kanäle sind nicht mehr sicher.

Warum die MFA-Mauer jetzt bröckelt

Die Angriffe zeigen ein fundamentales Problem auf. Multi-Faktor-Authentifizierung (MFA) galt lange als Goldstandard. Doch gegen Session-Hijacking ist sie wirkungslos.

Nach einer erfolgreichen Anmeldung mit Passwort und zweitem Faktor erstellt der Dienst ein Session-Token. Dieses Cookie bleibt auf dem Gerät, damit der Nutzer sich nicht ständig neu anmelden muss. Infostealer wie VVS oder GlassWorm klauen genau dieses Token.

Für den Server sieht der Zugriff des Hackers dann aus wie die legitime Sitzung des Opfers. Der zweite Faktor wird irrelevant – die Prüfung ist ja bereits bestanden. Der Handel mit diesen gestohlenen digitalen Identitäten boomt in Darknet-Märkten und auf Telegram.

Microsoft reagiert – die Zukunft liegt in der Hardware

Die Tech-Konzerne reagieren auf die neue Bedrohungslage. Microsoft kündigte an, am 12. Januar neue Sicherheitsfunktionen für Microsoft Teams zu aktivieren. Das Ziel: Die Verbreitung von Schadsoftware über die Kollaborationsplattform eindämmen.

Langfristig sehen Experten die Lösung in der Hardware-Bindung. Technologien wie Googles „Device Bound Session Credentials“ (DBSC) koppeln Session-Token kryptografisch an ein bestimmtes Gerät. Selbst wenn Malware das Token kopiert, ist es auf einem anderen Computer wertlos.

Für Nutzer bedeutet das: Der Übergang zu Passkeys und hardwaregebundenen Anmeldungen wird zur Notwendigkeit. Bis diese Technologien flächendeckend kommen, bleibt digitale Hygiene die wichtigste Verteidigung: Vorsicht bei Downloads, Skepsis gegenüber Browser-Erweiterungen und das regelmäßige Abmelden aktiver Sitzungen.

PS: Die neuen Angriffswege über Discord, Browser-Extensions und Telegram-Kanäle sind eine reale Gefahr – besonders für Nutzer ohne regelmäßige Sicherheitschecks. Die gleiche kostenlose Ausgabe des Anti-Phishing-Pakets bietet praxisnahe Schutzmaßnahmen, Hinweise zur Erkennung kompromittierter Sessions und sofort umsetzbare Schritte, um Accounts und Entwicklungssysteme zu sichern. Jetzt Anti-Phishing-Guide anfordern