PureLogs-Infostealer: Neue Variante nutzt Process Hollowing

Mai 2026 eine neue Variante des PureLogs-Infostealers entdeckt, die mit raffinierten Tarnmethoden arbeitet.

Die aktualisierte Schadsoftware nutzt sogenanntes Process Hollowing über die legitime Microsoft Build Engine, um Sicherheitsmechanismen zu umgehen und sensible Daten von infizierten Systemen zu stehlen.

Rekord-Schäden durch Phishing: Warum immer mehr Unternehmen jetzt auf Awareness-Kampagnen setzen. Experten erklären im kostenlosen Anti-Phishing-Paket, wie Ihr Unternehmen sich wirksam schützen kann. In 4 Schritten zur erfolgreichen Hacker-Abwehr

So läuft der Angriff ab

Die Infektionskette beginnt mit einer Phishing-E-Mail, die als Bestellanfrage getarnt ist. Die Angreifer verwenden dabei einen RAR-Archiv-Anhang – ein beobachtetes Beispiel trug den Namen „PO 2026-P0803.rar". Im Archiv verbirgt sich eine verschleierte JavaScript-Datei, die beim Öffnen eine komplexe mehrstufige Attacke startet.

Das JavaScript aktiviert ein PowerShell-Skript, das ein verschlüsseltes .NET-Modul direkt im Arbeitsspeicher entschlüsselt und ausführt. Dieser fileless-Ansatz hinterlässt kaum Spuren auf der Festplatte. Den finalen Schlag setzt der Schädling durch Process Hollowing: Er injiziert die PureLogs-Nutzlast in den Prozess MsBuild.exe.

Die Angreifer schützen ihre Malware zusätzlich mit den Verschleierungswerkzeugen .NET Reactor und IntelliLock – das erschwert Sicherheitsanalysten die Untersuchung erheblich.

Umfassender Datendiebstahl

Die neue PureLogs-Variante zielt auf ein breites Spektrum ab. Die Sicherheitsexperten beobachteten, dass die Malware versucht, Anmeldedaten aus über 80 verschiedenen Webbrowsern zu stehlen. Hinzu kommen Kryptowährungs-Wallets wie Binance, Exodus, Electrum und Atomic Wallet.

Neue KI-Gesetze, neue Cyberrisiken: Was kommt wirklich auf Ihr Unternehmen zu? Dieser kostenlose Report klärt auf, welche rechtlichen Pflichten und Bedrohungen Unternehmer jetzt kennen müssen. Gratis-E-Book: Cyber Security Bedrohungen abwenden

Auch E-Mail-Clients wie Microsoft Outlook, Thunderbird und Foxmail sind betroffen, ebenso wie diverse FTP- und VPN-Tools. Die gestohlenen Daten werden komprimiert und per AES-Verschlüsselung gesichert.

Die Kommunikation mit den Angreifern läuft über HTTPS. Die Malware verbindet sich mit einem Command-and-Control-Server, um weitere Plugins zu empfangen oder Daten über verschlüsselte HTTP-POST-Anfragen abzutransportieren. Ein identifizierter Server nutzte die IP-Adresse 77.83.39.211 auf Port 8443.

Weitere Sicherheitswarnungen im Mai 2026

Parallel zur PureLogs-Welle gibt es weitere alarmierende Entwicklungen. Indiens CERT-In warnte am 28. Mai vor schwerwiegenden Sicherheitslücken in mehreren Microsoft-Produkten, darunter Microsoft 365 Copilot, Azure und Entra ID. Die Schwachstellen könnten Datendiebstahl oder Dienstausfälle ermöglichen.

Zudem berichten Forscher von Arctic Wolf, dass Angreifer seit Mai 2026 die Sicherheitslücke CVE-2026-35616 in FortiClient EMS ausnutzen. Dadurch können Unbefugte die Authentifizierung umgehen und den EKZ-Infostealer installieren – eine weitere Schadsoftware, die auf Browser-Zugangsdaten abzielt.

Unternehmen wird dringend empfohlen, betroffene Software zu aktualisieren und verdächtige Prozessaktivitäten bei legitimen Systemdateien wie MsBuild.exe zu überwachen.

de | wissenschaft | 69438833 |