← Alle Schadenbeispiele

Raccoon Stealer: Der Info-Dieb aus dem Abo-Modell

von freeze4me.com · 2026-03-23
Raccoon Stealer Infostealer Malware-as-a-Service Passwort-Diebstahl Krypto-Wallet Browser-Passwörter

Für 200 Dollar im Monat konnte jeder Kriminelle einen professionellen Passwort-Dieb mieten – Raccoon Stealer stahl Millionen von Zugangsdaten weltweit.

Raccoon Stealer: Der Info-Dieb aus dem Abo-Modell

Der Vorfall

Zwischen 2019 und 2022 avancierte Raccoon Stealer zu einem der meistgenutzten Info-Stealer der Welt. Das Besondere: Die Malware wurde nicht von einer einzelnen Hackergruppe eingesetzt, sondern als Malware-as-a-Service (MaaS) in Untergrundforen vermietet – für rund 200 US-Dollar pro Monat. Jeder, der bereit war zu zahlen, erhielt Zugang zu einem professionellen Stealer-Toolkit inklusive Weboberfläche, automatisierter Datenexfiltration und technischem Support.

Raccoon Stealer infizierte laut Schätzungen des FBI weltweit über zwei Millionen Rechner und erbeutete dabei mehr als 50 Millionen Zugangsdaten – darunter E-Mail-Adressen, Bankdaten, Kreditkartennummern und Kryptowährungs-Wallets. Die gestohlenen Daten wurden auf Marktplätzen im Darknet weiterverkauft und für weitere Angriffe genutzt.

Im März 2022 wurde der ukrainische Entwickler Mark Sokolovsky in den Niederlanden verhaftet. Die Infrastruktur von Raccoon Stealer wurde vorübergehend abgeschaltet – doch bereits im Juni 2022 tauchte Version 2.0 auf, diesmal in C/C++ komplett neu geschrieben und noch schwerer zu erkennen.

Wie der Angriff funktionierte

Raccoon Stealer folgte einem klassischen mehrstufigen Infektionsmuster, das die Stärke des MaaS-Modells ausmachte:

Stufe 1 – Die Zustellung: Die Kriminellen, die den Stealer gemietet hatten, verteilten ihn über verschiedene Wege. Am häufigsten kamen gecrackte Software und Spiele zum Einsatz. Wer im Internet nach kostenlosen Versionen von Adobe Photoshop, Microsoft Office oder beliebten Spielen suchte, landete auf manipulierten Download-Seiten. Die heruntergeladenen Installer enthielten neben der erwarteten Software auch den Raccoon-Dropper.

Andere Verteilungswege umfassten Phishing-E-Mails mit präparierten Anhängen und SEO-Poisoning – dabei wurden manipulierte Webseiten so optimiert, dass sie bei Google-Suchen ganz oben erschienen.

Stufe 2 – Der Dropper: Der initiale Dropper war bewusst klein gehalten, oft nur wenige Kilobyte groß. Er wurde bei der Installation der vermeintlich legitimen Software im Hintergrund ausgeführt. Seine einzige Aufgabe: die eigentliche Stealer-Payload von einem Command-and-Control-Server (C2) herunterzuladen.

Stufe 3 – Der Diebstahl: Sobald die Hauptkomponente aktiv war, durchsuchte Raccoon Stealer systematisch den Rechner:

  • Browser-Daten: Gespeicherte Passwörter, Cookies, Autofill-Daten und Kreditkarteninformationen aus Chrome, Firefox, Edge und über 60 weiteren Browsern.
  • Krypto-Wallets: Wallet-Dateien von Bitcoin, Ethereum, Monero und dutzenden weiteren Kryptowährungen.
  • E-Mail-Clients: Zugangsdaten aus Outlook, Thunderbird und anderen Mail-Programmen.
  • Systemdaten: Screenshots, installierte Anwendungen und Systeminformationen.

Stufe 4 – Die Exfiltration: Alle gesammelten Daten wurden komprimiert und an den C2-Server der jeweiligen Mieter übertragen. Der gesamte Vorgang dauerte oft nur wenige Sekunden – danach hatte der Angreifer eine vollständige Kopie aller gespeicherten Zugangsdaten.

Warum Virenscanner versagten

Raccoon Stealer war für Virenscanner aus mehreren Gründen extrem schwer zu fassen:

Ständige Neukompilierung: Da Hunderte verschiedene Kriminelle den Service nutzten, wurde die Malware ständig neu kompiliert und angepasst. Jeder Mieter erhielt im Grunde eine individuell verschleierte Version. Signaturbasierte Erkennung war damit praktisch wirkungslos, weil die Hashes sich ständig änderten.

Polymorpher Code: Raccoon Stealer setzte fortgeschrittene Verschleierungstechniken ein. Der Code veränderte seine Struktur bei jeder Kompilierung, ohne seine Funktionalität zu ändern. Für einen Virenscanner sah jede Version wie ein völlig neues Programm aus.

Legitime Tarnung: Der Dropper wurde in legitime Installer eingebettet. Wenn Du eine gecrackte Version von Photoshop herunterlädst und installierst, erwarten sowohl Du als auch Dein Virenscanner, dass die Installationsdatei Systemänderungen vornimmt. Der Dropper versteckte sich in genau diesen erwarteten Aktionen.

Schnelle Updates: Die Entwickler reagierten innerhalb von Stunden, wenn Antivirenhersteller neue Signaturen veröffentlichten. Version 2.0, die nach der Verhaftung von Sokolovsky erschien, war in einer komplett anderen Programmiersprache geschrieben und umging dadurch sämtliche bestehenden Erkennungsregeln.

Kurze Aktivitätszeit: Der eigentliche Diebstahl dauerte nur Sekunden. Verhaltensbasierte Erkennung, die auf längere verdächtige Aktivitäten angewiesen ist, hatte kaum eine Chance, den Vorgang rechtzeitig zu stoppen.

So hätte Deep Freeze geschützt

Deep Freeze hätte den Raccoon Stealer auf mehreren Ebenen unschädlich gemacht:

Der Dropper überlebt keinen Neustart. Egal ob die Malware über eine gecrackte Software, eine Phishing-Mail oder eine manipulierte Webseite auf Deinen Rechner gelangt – nach dem nächsten Reboot wird die Festplatte in den Originalzustand zurückgesetzt. Der Dropper, die heruntergeladene Payload und alle Zwischendateien sind vollständig gelöscht.

Keine dauerhafte Einnistung möglich. Raccoon Stealer legte Dateien im Benutzerverzeichnis und in temporären Ordnern ab, um auch nach einem Neustart aktiv bleiben zu können. Mit einer eingefrorenen Systempartition werden genau diese Änderungen rückgängig gemacht. Die Malware kann sich nicht dauerhaft einnisten.

Die gestohlenen Daten werden wertlos. Selbst wenn der Stealer in einer laufenden Sitzung Browser-Passwörter ausliest – nach dem Neustart sind die ursprünglichen, unveränderten Daten wiederhergestellt. Der Angreifer kann keine nachträglichen Änderungen vornehmen, keine Hintertüren installieren und keine weiteren Zugangsdaten nachladen.

Der mehrstufige Angriff wird unterbrochen. Das MaaS-Modell lebt davon, dass der Dropper unbemerkt bleibt und über Tage oder Wochen immer wieder neue Daten abgreift. Deep Freeze unterbricht diesen Kreislauf bei jedem Neustart. Das gesamte Geschäftsmodell von Raccoon Stealer – dauerhafter Zugriff auf infizierte Rechner – wird damit hinfällig.

Kein Vertrauen in Signaturen nötig. Während Virenscanner darauf angewiesen sind, Raccoon Stealer zu erkennen, bevor er Schaden anrichtet, setzt Deep Freeze an einem grundlegenderen Punkt an: Es ist egal, ob die Malware erkannt wird oder nicht. Nach dem Neustart ist sie weg.

Die Lehre

  • Malware-as-a-Service senkt die Einstiegshürde für Cyberkriminalität dramatisch. Für 200 Dollar pro Monat konnte jeder Kleinkriminelle einen professionellen Info-Stealer einsetzen – technisches Wissen war kaum erforderlich.
  • Gespeicherte Browser-Passwörter sind ein Hauptziel. Raccoon Stealer konzentrierte sich gezielt auf die bequemste Schwachstelle: die im Browser hinterlegten Zugangsdaten, die die meisten Nutzer verwenden.
  • Ständig mutierender Code macht signaturbasierte Erkennung wirkungslos. Wenn Hunderte Kriminelle jeweils eigene Varianten verteilen, können Antivirenhersteller nicht schnell genug reagieren.
  • Die Verhaftung des Entwicklers stoppte die Malware nicht. Version 2.0 erschien innerhalb weniger Monate. Solange es ein Geschäftsmodell gibt, finden sich neue Entwickler.
  • Deep Freeze eliminiert das Grundproblem: Statt jede neue Variante erkennen zu müssen, wird bei jedem Neustart der sichere Ausgangszustand wiederhergestellt. Egal wie professionell der Stealer ist – er überlebt keinen Reboot auf einer eingefrorenen Systempartition.

Nie wieder Opfer von Malware?

Deep Freeze macht Deinen PC immun gegen Viren, Ransomware und ungewollte Änderungen. Ein Neustart genügt.

So schützt Du Deinen PC →

← Alle Schadenbeispiele

Weitere Schadenbeispiele

Deep Freeze entdecken

Mehr erfahren →