So entfernen Sie EKZ Stealer vom Betriebssystem

Was für eine Art von Malware ist EKZ Stealer?

EKZ Stealer ist ein Informationsdieb, der darauf ausgelegt ist, gespeicherte Passwörter, Cookies, Autofill-Daten und Zahlungskartendaten aus Webbrowsern auf infizierten Windows-Computern unbemerkt zu extrahieren. Laut einer Untersuchung von Arctic Wolf wurde er erstmals im Mai 2026 im Rahmen einer Kampagne beobachtet, die auf Organisationen abzielt, die Fortinets FortiClient EMS-Software verwenden.

Um den Stealer zu verbreiten, tarnten die Angreifer ihn als ein legitimes Fortinet-Software-Update namens FortiEndpoint_Patch.exe. Die Datei wurde über manipulierte VPN-Profilkonfigurationen automatisch an verwaltete Endpunkte verteilt, sodass die Opfer in der Regel keine Ahnung hatten, dass die Malware installiert wurde.

EKZ Stealer Übersicht

Die Malware zielt sowohl auf Chromium-basierte Browser (wie Chrome und Edge) als auch auf Firefox-basierte Browser ab, darunter LibreWolf, Waterfox, Pale Moon und Thunderbird. Aus diesen Anwendungen sammelt sie gespeicherte Anmeldedaten, Sitzungs-Cookies, Autofill-Daten und gespeicherte Kreditkartennummern.

Sobald die Sammlung abgeschlossen ist, werden die gesammelten Daten in eine Protokolldatei auf dem Computer des Opfers geschrieben und dann über eine HTTP-Verbindung an einen von den Angreifern kontrollierten Server gesendet. Der Stealer unterstützt die wiederholte Verwendung auf mehreren Hosts über eine Befehlszeilenschnittstelle, was darauf hindeutet, dass er in gezielten, bedienergesteuerten Operationen eingesetzt wird.

Die von Arctic Wolf dokumentierte Kampagne nutzte CVE-2026-35616 aus, eine Schwachstelle in FortiClient EMS, die unautorisierten Zugriff auf die Verwaltungs-API des Servers ermöglichte. Die Angreifer nutzten diesen Zugang, um VPN-Profilkonfigurationen zu ändern und bösartige PowerShell-Befehle einzuschleusen, die automatisch auf allen verwalteten Endpunkten ausgeführt wurden, wenn eine VPN-Verbindung hergestellt wurde.

Wie EKZ Stealer Browserdaten stiehlt

Chromium-basierte Browser verschlüsseln gespeicherte Passwörter mit einem Schutz, der an das Windows-Benutzerkonto gebunden ist. EKZ Stealer umgeht dies, indem er sich in den eigenen Anwendungsordner des Browsers kopiert und von diesem Speicherort aus neu startet, wodurch der Browser ihn als vertrauenswürdigen internen Prozess behandelt.

Von dieser Position aus ruft er eine privilegierte Browserfunktion auf, um den AES-256-Entschlüsselungsschlüssel abzurufen, der zum Schutz gespeicherter Anmeldedaten verwendet wird. Dies ermöglicht es dem Stealer, jedes gespeicherte Passwort im Browser ohne jegliche Warnung an den Benutzer zu lesen.

Verteidigungsumgehung

EKZ Stealer ergreift Maßnahmen, um die Analyse zu erschweren und Spuren der Infektion zu beseitigen. Seine ausführbare Datei hat einen auf Null gesetzten Build-Zeitstempel, wodurch die Datumsmarkierung entfernt wird, die Forscher normalerweise verwenden, um festzustellen, wann ein Programm kompiliert wurde.

Die Malware wurde auch über Base64-kodierte PowerShell-Skripte verbreitet, die Filter umgehen können, die nach erkennbaren bösartigen Befehlen suchen. Nach Abschluss der Exfiltration löscht der Stealer die Payload-Datei und bereinigt zugehörige Protokolleinträge, wodurch Beweise für die Infektion beseitigt werden.

Fazit

Opfer von EKZ Stealer können alle in ihren Browsern gespeicherten Anmeldedaten verlieren, einschließlich Kontopasswörter, Zahlungskartendaten und Sitzungs-Cookies, die es Angreifern ermöglichen könnten, ohne das ursprüngliche Passwort auf Konten zuzugreifen. Alle Konten, die zum Zeitpunkt der Infektion im Browser aktiv waren, sollten als potenziell kompromittiert betrachtet werden.

Die Bereinigungsroutine des Stealers macht es schwierig, eine Infektion im Nachhinein zu bestätigen, und Organisationen, die von der FortiClient EMS-Schwachstelle betroffen sind, haben ihn möglicherweise auf vielen Geräten gleichzeitig bereitgestellt bekommen. EKZ Stealer sollte sofort vom System entfernt werden.

Weitere Beispiele für Stealer sind DebugElevator, Evolution und Needle.

Wie hat EKZ Stealer meinen Computer infiltriert?

Laut Arctic Wolf nutzte die EKZ Stealer-Kampagne CVE-2026-35616 aus, eine Schwachstelle in Fortinets FortiClient EMS, die unautorisierten Zugriff auf die Verwaltungs-API des Servers ermöglichte. Die Angreifer erlangten administrative Kontrolle und änderten VPN-Profileinstellungen, um bösartige PowerShell-Skripte in die Konfiguration einzuschleusen.

Diese Skripte wurden automatisch auf allen verwalteten Endpunkten ausgeführt, sobald eine VPN-Verbindung hergestellt wurde. Die Payload trug den Namen FortiEndpoint_Patch.exe, und für die meisten Benutzer und Administratoren hätte sie wie ein routinemäßiges Fortinet-Softwareupdate ausgesehen und nicht wie Malware.

Außerhalb dieser spezifischen Kampagne erreichen Stealer Benutzer häufig über Phishing-E-Mails, gefälschte Software-Download-Seiten, Raubkopien von Software und Software-Cracks.

Wie vermeidet man die Installation von Malware?

Halten Sie alle Software auf dem neuesten Stand, einschließlich Netzwerkverwaltungstools und VPN-Clients. Schwachstellen wie CVE-2026-35616 werden von den Herstellern nach ihrer Entdeckung gepatcht, aber die Geräte müssen diese Patches tatsächlich erhalten und anwenden, um geschützt zu sein. Laden Sie Software-Updates nur direkt von offiziellen Herstellerwebseiten herunter.

Seien Sie vorsichtig mit unerwarteten E-Mails, die Anhänge oder Links enthalten, auch wenn sie scheinbar von einer vertrauenswürdigen Quelle stammen. Verwenden Sie seriöse Antivirensoftware und scannen Sie regelmäßig nach Bedrohungen. Wenn Sie glauben, dass Ihr Computer bereits infiziert ist, empfehlen wir, einen Scan mit Combo Cleaner Antivirus für Windows durchzuführen, um eingedrungene Malware automatisch zu entfernen.

Umgehende automatische Entfernung von Malware:

Die manuelle Entfernung einer Bedrohung kann ein langer und komplizierter Prozess sein, der fortgeschrittene Computerkenntnisse voraussetzt. Combo Cleaner ist ein professionelles, automatisches Malware-Entfernungstool, das zur Entfernung von Malware empfohlen wird. Laden Sie es durch Anklicken der untenstehenden Schaltfläche herunter:

Indem Sie Software, die auf dieser Internetseite aufgeführt ist, herunterladen, stimmen Sie unseren Datenschutzbestimmungen und Nutzungsbedingungen zu. Der kostenlose Scanner überprüft, ob Ihr Computer infiziert ist. Um das Produkt mit vollem Funktionsumfang nutzen zu können, müssen Sie eine Lizenz für Combo Cleaner erwerben. Auf 7 Tage beschränkte kostenlose Testversion verfügbar. Eigentümer und Betreiber von Combo Cleaner ist RCS LT, die Muttergesellschaft von PCRisk.

Schnellmenü:

• Was ist EKZ Stealer?
• SCHRITT 1. Manuelle Entfernung von EKZ Stealer Malware.
• SCHRITT 2. Prüfen Sie, ob Ihr Computer sauber ist.

Wie entfernt man Malware manuell?

Die manuelle Entfernung von Malware ist eine komplizierte Aufgabe - normalerweise ist es am besten, Antivirus- oder Anti-Malware-Programme dies automatisch erledigen zu lassen. Um diese Malware zu entfernen, empfehlen wir die Verwendung von Combo Cleaner Antivirus für Windows.

Wenn Sie Malware manuell entfernen möchten, besteht der erste Schritt darin, den Namen der Malware zu identifizieren, die Sie zu entfernen versuchen. Hier ist ein Beispiel für ein verdächtiges Programm, das auf dem Computer eines Benutzers ausgeführt wird:

Wenn Sie die Liste der auf Ihrem Computer laufenden Programme überprüft haben, z. B. mit dem Task-Manager, und ein verdächtig aussehendes Programm identifiziert haben, sollten Sie mit diesen Schritten fortfahren:

Laden Sie ein Programm namens Autoruns herunter. Dieses Programm zeigt automatisch startende Anwendungen, Registry- und Dateisystemspeicherorte an:

Starten Sie Ihren Computer im abgesicherten Modus neu:

Benutzer von Windows XP und Windows 7: Starten Sie Ihren Computer im abgesicherten Modus. Klicken Sie auf Start, klicken Sie auf Herunterfahren, klicken Sie auf Neustart, klicken Sie auf OK. Drücken Sie während des Startvorgangs Ihres Computers mehrmals die Taste F8 auf Ihrer Tastatur, bis Sie das Menü „Erweiterte Windows-Optionen" sehen, und wählen Sie dann „Abgesicherter Modus mit Netzwerk" aus der Liste.

Video, das zeigt, wie man Windows 7 im „Abgesicherten Modus mit Netzwerk" startet:

Benutzer von Windows 8: Starten Sie Windows 8 im abgesicherten Modus mit Netzwerk - Gehen Sie zum Windows 8-Startbildschirm, geben Sie „Erweitert" ein und wählen Sie in den Suchergebnissen „Einstellungen". Klicken Sie auf „Erweiterte Startoptionen" und wählen Sie im geöffneten Fenster „Allgemeine PC-Einstellungen" die Option „Erweiterter Start".

Klicken Sie auf die Schaltfläche „Jetzt neu starten". Ihr Computer wird nun im Menü „Erweiterte Startoptionen" neu gestartet. Klicken Sie auf die Schaltfläche „Problembehandlung" und dann auf die Schaltfläche „Erweiterte Optionen". Klicken Sie im Bildschirm „Erweiterte Optionen" auf „Starteinstellungen".

Klicken Sie auf die Schaltfläche „Neu starten". Ihr PC wird im Bildschirm „Starteinstellungen" neu gestartet. Drücken Sie F5, um im abgesicherten Modus mit Netzwerk zu starten.

Video, das zeigt, wie man Windows 8 im „Abgesicherten Modus mit Netzwerk" startet:

Benutzer von Windows 10: Klicken Sie auf das Windows-Logo und wählen Sie das Ein/Aus-Symbol. Klicken Sie im geöffneten Menü auf „Neu starten", während Sie die „Umschalt"-Taste auf Ihrer Tastatur gedrückt halten. Im Fenster „Option auswählen" klicken Sie auf „Problembehandlung" und wählen Sie dann „Erweiterte Optionen".

Wählen Sie im Menü „Erweiterte Optionen" die Option „Starteinstellungen" und klicken Sie auf die Schaltfläche „Neu starten". Im folgenden Fenster sollten Sie die Taste „F5" auf Ihrer Tastatur drücken. Dadurch wird Ihr Betriebssystem im abgesicherten Modus mit Netzwerk neu gestartet.

Video, das zeigt, wie man Windows 10 im „Abgesicherten Modus mit Netzwerk" startet:

Entpacken Sie das heruntergeladene Archiv und führen Sie die Datei Autoruns.exe aus.

Klicken Sie in der Autoruns-Anwendung oben auf „Optionen" und deaktivieren Sie die Optionen „Leere Speicherorte ausblenden" und „Windows-Einträge ausblenden". Klicken Sie nach diesem Vorgang auf das Symbol „Aktualisieren".

Überprüfen Sie die von der Autoruns-Anwendung bereitgestellte Liste und suchen Sie die Malware-Datei, die Sie entfernen möchten.

Sie sollten den vollständigen Pfad und Namen notieren. Beachten Sie, dass manche Malware Prozessnamen unter legitimen Windows-Prozessnamen versteckt. In dieser Phase ist es sehr wichtig, keine Systemdateien zu entfernen. Nachdem Sie das verdächtige Programm gefunden haben, das Sie entfernen möchten, klicken Sie mit der rechten Maustaste auf seinen Namen und wählen Sie „Löschen".

Nachdem Sie die Malware über die Autoruns-Anwendung entfernt haben (dies stellt sicher, dass die Malware beim nächsten Systemstart nicht automatisch ausgeführt wird), sollten Sie auf Ihrem Computer nach dem Malware-Namen suchen. Stellen Sie sicher, dass Sie versteckte Dateien und Ordner aktivieren, bevor Sie fortfahren. Wenn Sie den Dateinamen der Malware finden, entfernen Sie ihn unbedingt.

Starten Sie Ihren Computer im normalen Modus neu. Das Befolgen dieser Schritte sollte jegliche Malware von Ihrem Computer entfernen. Beachten Sie, dass die manuelle Bedrohungsentfernung fortgeschrittene Computerkenntnisse erfordert. Wenn Sie diese Kenntnisse nicht haben, überlassen Sie die Malware-Entfernung Antivirus- und Anti-Malware-Programmen.

Diese Schritte funktionieren möglicherweise nicht bei fortgeschrittenen Malware-Infektionen. Wie immer ist es am besten, einer Infektion vorzubeugen, anstatt später zu versuchen, Malware zu entfernen. Um Ihren Computer sicher zu halten, installieren Sie die neuesten Betriebssystem-Updates und verwenden Sie Antivirensoftware. Um sicherzustellen, dass Ihr Computer frei von Malware-Infektionen ist, empfehlen wir, ihn mit Combo Cleaner Antivirus für Windows zu scannen.

Häufig gestellte Fragen (FAQ)

Mein Computer ist mit EKZ Stealer Malware infiziert, sollte ich mein Speichergerät formatieren, um sie loszuwerden?

Durch das Formatieren wird EKZ Stealer entfernt, aber es werden auch alle Daten auf dem Laufwerk gelöscht. Das Ausführen eines seriösen Sicherheitstools wie Combo Cleaner ist der empfohlene erste Schritt; eine Formatierung sollte nur als letzter Ausweg in Betracht gezogen werden.

Was sind die größten Probleme, die EKZ Stealer Malware verursachen kann?

EKZ Stealer kann zum Diebstahl aller gespeicherten Browser-Passwörter, Sitzungs-Cookies und Zahlungskartendaten führen. Dies kann zu Kontoübernahmen, Identitätsdiebstahl und Finanzbetrug führen, insbesondere wenn die gestohlenen Anmeldedaten Bank- oder E-Mail-Konten umfassen.

Was ist der Zweck von EKZ Stealer Malware?

Der Zweck von EKZ Stealer besteht darin, gespeicherte Anmeldedaten und sensible Daten aus Webbrowsern zu sammeln, einschließlich Passwörter, Cookies, Autofill-Daten und Zahlungskartendetails, und diese Informationen zur Ausnutzung an die Angreifer zu senden.

Wie hat EKZ Stealer Malware meinen Computer infiltriert?

EKZ Stealer wurde bei der Verbreitung über eine Kampagne beobachtet, die CVE-2026-35616, eine FortiClient EMS-Schwachstelle, ausnutzte. Die Angreifer schleusten bösartige PowerShell-Skripte in VPN-Konfigurationen ein, wodurch der Stealer automatisch auf verwalteten Endpunkten ausgeführt wurde, ohne dass eine Benutzeraktion erforderlich war.

Wird Combo Cleaner mich vor Malware schützen?

Ja. Combo Cleaner kann die meisten bekannten Malware erkennen und entfernen, einschließlich Informationsdiebe. Es wird empfohlen, einen vollständigen Systemscan durchzuführen, um sicherzustellen, dass keine Bedrohungen übersehen werden und das System gründlich bereinigt ist.