How infostealers steal credentials and evade detection

In einer Zeit, in der digitale Identitäten der Schlüssel zu unserem Königreich sind, wütet eine stille Epidemie in der Cyberlandschaft. Infostealer – hochentwickelte malware Abgreifen malware Anmeldedaten – haben allein im Jahr 2025 1,8 Milliarden Anmeldedaten von 5,8 Millionen Geräten gestohlen, was einem Anstieg von 800 % gegenüber den Vorjahren entspricht. Diese erschreckende Zahl von Anmeldedaten-Diebstählen ist mittlerweile für 86 % aller Sicherheitsverletzungen verantwortlich und verändert grundlegend die Art und Weise, wie Unternehmen mit Sicherheit umgehen müssen.

Die Schwere dieser Bedrohung wurde im Oktober 2025 unbestreitbar, als 183 Millionen Gmail-Anmeldedaten die Untergrundmärkte überschwemmten und für nur 10 US-Dollar pro Konto verkauft wurden. Obwohl es sich nicht um einen Einbruch in die Systeme von Google handelte, zeigte dieser massive Datenleck, wie endpoint zu Sicherheitsdesastern im Unternehmensmaßstab führen können. Für Sicherheitsexperten, die immer komplexere Umgebungen schützen müssen, ist das Verständnis von Infostealern keine Option, sondern für das Überleben des Unternehmens unerlässlich.

Was sind Infostealer?

Infostealer sind eine spezielle Kategorie von malware , um unbemerkt sensible Informationen aus infizierten Systemen zu extrahieren, wobei der Schwerpunkt auf Authentifizierungsdaten, Sitzungstoken und persönlichen Daten liegt. Diese Schadprogramme arbeiten heimlich im Hintergrund und sammeln in Browsern gespeicherte Passwörter, Schlüssel für Kryptowährungs-Wallets, Systeminformationen und aktive Sitzungscookies, die die Multi-Faktor-Authentifizierung umgehen. Im Gegensatz zu ransomware ihre Anwesenheit durch Verschlüsselung bekannt gibt, bleiben Infostealer unentdeckt, während sie systematisch digitale Identitäten plündern.

Die Raffinesse moderner Infostealer geht weit über den einfachen Passwortdiebstahl hinaus. Diese Tools extrahieren umfassende digitale Profile, darunter Browserverläufe, Daten für die automatische Ausfüllung, Screenshots und Systemkonfigurationen. Im Rahmen eines Malware(MaaS) können Kriminelle für nur 200 US-Dollar pro Monat Zugang zu fortschrittlichen Infostealer-Plattformen mieten, wodurch technische Einstiegshürden beseitigt werden. Diese Demokratisierung von Cybercrime-Tools hat den Diebstahl von Anmeldedaten von einer spezialisierten Fertigkeit zu einer alltäglichen Dienstleistung gemacht.

Das Geschäftsmodell hinter Infostealern zeigt, warum sie zur bevorzugten Waffe der Cyberkriminalität geworden sind. Gestohlene Anmeldedaten fließen durch eine ausgeklügelte Untergrundwirtschaft, in der Initial Access Brokers (IABs) den Zugriff auf kompromittierte Konten kaufen, bündeln und weiterverkaufen. Eine einzige Unternehmensanmeldung kann Tausende von Dollar einbringen, wenn sie Zugriff auf wertvolle Netzwerke gewährt. Dieser wirtschaftliche Anreiz treibt die kontinuierliche Innovation bei Ausweichtechniken und Zielstrategien voran.

Das Ausmaß der Bedrohung durch Infostealer

The numbers paint a sobering picture of infostealer proliferation. 1.8 billion credentials were stolen in the first half of 2025 alone, an 800% increase over the previous six months, with 3.2 billion stolen across all of 2024, 75% of which were taken via infostealers (IBM X-Force, 2024). The average breach now costs organizations $4.44 million globally, reaching $10.22 million in the United States. Geographic analysis shows concentrated infections in India (10%) and Brazil (8%), though no region remains untouched.

Law enforcement has mounted its most aggressive coordinated response yet, Operation Endgame dismantled core infostealer infrastructure in 2024, followed by INTERPOL's Operation Secure in 2025, which took down 20,000 malicious IPs and domains, seized 41 servers, arrested 32 suspects, and notified 216,000 victims. Yet within days of each action, new infrastructure emerged, confirming that takedowns create friction but cannot outpace an ecosystem built on decentralization and rapid reconstitution.

Organizations implementing Identity Threat Detection and Response (ITDR) solutions report significantly improved detection rates, though the gap between infection and discovery still averages 4 days.

Wie Infostealer funktionieren

Das Verständnis der technischen Mechanismen von Infostealern verdeutlicht, warum herkömmliche Sicherheitsmaßnahmen oft versagen. Diese hochentwickelten Tools nutzen mehrere Extraktionsmethoden, fortschrittliche Umgehungstechniken und eine widerstandsfähige Command-and-Control-Infrastruktur, um einen dauerhaften Zugriff auf die Datenströme der Opfer aufrechtzuerhalten.

Die Infektionskette beginnt in der Regel mit Social Engineering, bei dem eher die menschliche Psychologie als technische Schwachstellen ausgenutzt werden. Phishing mit bösartigen Anhängen sind nach wie vor der Hauptvektor, obwohl Malvertising und kompromittierte Software-Downloads durch Initiativen wie die ClickFix-Kampagne um 700 % zugenommen haben. Nach der Ausführung beginnen Infostealer sofort damit, gespeicherte Anmeldedaten aus Browsern, E-Mail-Clients und Passwort-Managern zu sammeln und gleichzeitig eine Verbindung zur Infrastruktur des Angreifers herzustellen.

Moderne Infostealer verwenden ausgeklügelte Umgehungstechniken, mit denen sie Sicherheitskontrollen umgehen können. Sie nutzen Process Hollowing, um sich in legitimen Anwendungen zu verstecken, wenden Anti-Analyse-Tricks an, um virtuelle Maschinen zu erkennen, und nutzen dateilose Techniken, die vollständig im Speicher ausgeführt werden. Das JSON-basierte Command-and-Control-Protokoll von StealC V2 ist ein Beispiel für diese Entwicklung. Es passt sein Verhalten dynamisch an die Zielumgebung an und sorgt gleichzeitig für verschlüsselte Kommunikationskanäle, die gegen Netzwerküberwachung resistent sind.

Der Extraktionsprozess folgt einer methodischen Abfolge:

1. Systemprofilierung – Erfassen von Hardware-Spezifikationen, installierter Software und Sicherheitstools
2. Browser-Harvesting – Extrahieren gespeicherter Passwörter, Cookies und Daten zur automatischen Ausfüllung
3. Anwendungs-Targeting – Diebstahl von Anmeldedaten aus E-Mail-Clients und Messaging-Apps
4. Wallet-Erkennung – Suche nach Kryptowährungsschlüsseln und Seed-Phrasen
5. Sitzungsentführung – Erfassen aktiver Authentifizierungstoken
6. Datenpaketierung – Komprimierung gestohlener Informationen in verschlüsselte Archive
7. Exfiltration — Übertragung von Daten an Befehls- und Kontrollserver
8. Marktvorbereitung – Formatierung von Referenzen für den Untergrundverkauf

Windows APIs commonly targeted by infostealers

To extract credentials efficiently, infostealers don't break into the OS, they use the front door. They call the same legitimate Windows APIs that browsers, password managers, and enterprise applications rely on daily, which is precisely why their activity blends into normal process behavior. Endpoint agents monitoring for malicious signatures rarely flag what looks like routine system calls. These are the specific components infostealers target, what each one holds, and the exact technique used to turn a legitimate API into a credential harvesting tool.

Das Malware(MaaS)-Ökosystem

Das MaaS-Modell hat Infostealer von maßgeschneiderten Tools zu kommerziellen Produkten gemacht. Für 200 US-Dollar im Monat erhalten Kriminelle Zugang zu hochentwickelten Plattformen, darunter anpassbare malware , bulletproof Hosting, automatisiertes Kampagnenmanagement und Echtzeit-Statistik-Dashboards. Dieses Abonnementmodell bietet kontinuierliche Updates und stellt sicher, dass malware den Erkennungssignaturen malware einen Schritt voraus malware .

Plattformbetreiber kümmern sich um die technische Komplexität, während sich die „Kunden“ auf den Vertrieb konzentrieren. Funktionen wie die modulare Architektur ermöglichen es Angreifern, bestimmte Funktionen auszuwählen, wodurch Dateigrößen und Erkennungsprofile reduziert werden. Die Markteinführung von Acreed im Jahr 2025 ist ein Beispiel für diesen Trend und bietet anpassbare Module für Browser-Diebstahl, Kryptowährungs-Targeting und das Sammeln von Unternehmenszugangsdaten. Der wettbewerbsintensive Markt treibt Innovationen voran, wobei Anbieter darum wetteifern, Funktionen wie Screenshots von mehreren Bildschirmen und verbesserte Anti-Analyse-Fähigkeiten hinzuzufügen.

Die Wirtschaftlichkeit von MaaS-Plattformen erklärt ihr explosives Wachstum. Vergleicht man die monatlichen Kosten von 200 US-Dollar mit potenziellen Gewinnen in Höhe von Tausenden pro kompromittiertem Unternehmenskonto, wird der ROI deutlich. Diese Zugänglichkeit hat den Kreis der Bedrohungsakteure von hochentwickelten Gruppen auf opportunistische Kriminelle ausgeweitet und damit die Angriffsfläche, die Unternehmen verteidigen müssen, vervielfacht.

Übertragungswege und Infektionsvektoren

Vertriebsstrategien haben sich über herkömmliche E-Mail-Anhänge hinaus weiterentwickelt. Die ClickFix-Kampagne demonstriert ausgeklügeltes Social Engineering, indem sie gefälschte Fehlermeldungen anzeigt, die Benutzer dazu auffordern, Probleme durch Ausführen bösartiger PowerShell-Befehle zu „beheben“. Diese Kampagnen nutzen vertrauenswürdige Kontexte – Software-Update-Aufforderungen, Browser-Benachrichtigungen und Systemwarnungen –, um die Skepsis der Benutzer zu umgehen.

Angriffe auf die Lieferkette stellen einen neuen Angriffsvektor dar, bei dem Angreifer legitime Software kompromittieren, um Infostealer zu verbreiten. Der Snowflake-Vorfall, an dem sechs verschiedene Infostealer-Varianten beteiligt waren, kompromittierte 165 Umgebungen durch infizierte Tools von Drittanbietern. Suchmaschinenoptimierung (SEO) Poisoning lenkt den Traffic auf bösartige Websites, die gefälschte Software-Cracks und Spielmodifikationen hosten und sich insbesondere an jüngere Bevölkerungsgruppen richten, die sich der Sicherheitsrisiken weniger bewusst sind.

Malvertising-Kampagnen kaufen legitime Werbeflächen, um Infostealer zu verbreiten, und nutzen vertrauenswürdige Plattformen, um ihre Opfer zu erreichen. Diese Anzeigen geben sich oft als beliebte Software aus und führen zu überzeugenden Download-Seiten, die bösartige Payloads hosten. Geografisches und demografisches Targeting stellt sicher, dass die Kampagnen wertvolle Zielgruppen erreichen – Finanzfachleute während der Steuersaison, Gamer während wichtiger Veröffentlichungen oder Studenten während der Prüfungszeit.

Arten von Infostealern

Die Infostealer-Landschaft umfasst verschiedene Varianten, die jeweils über einzigartige Fähigkeiten und Zielprofile verfügen. Das Verständnis dieser Unterschiede hilft Sicherheitsteams dabei, Erkennungsstrategien zu priorisieren und Verteidigungsressourcen effektiv einzusetzen.

Der Markt hat im Jahr 2025 erhebliche Umbrüche erlebt, wobei Strafverfolgungsbehörden etablierte Akteure zerschlagen haben, während neue Varianten schnell die Lücke füllen. Diese ständige Weiterentwicklung stellt Sicherheitsteams vor die Herausforderung, aktuelle Bedrohungsinformationen aufrechtzuerhalten und sich gleichzeitig auf neue Bedrohungen vorzubereiten. Malware zeigt gemeinsame Muster bei den verschiedenen Varianten, obwohl jede Familie unterschiedliche Merkmale aufweist, die maßgeschneiderte Erkennungsansätze erfordern.

Der Wettbewerb treibt Innovationen voran, da Entwickler darum wetteifern, Funktionen hinzuzufügen, die ihre Produkte von anderen abheben. In Updates tauchen regelmäßig fortschrittliche Umgehungstechniken, erweiterte Zielanwendungen und verbesserte Methoden zur Datenexfiltration auf. Threat-Intelligence-Plattformen verfolgen diese Entwicklungen und liefern Sicherheitsteams Indikatoren für Kompromittierungen und Verhaltensmuster, die für die Erkennung unerlässlich sind.

Lumma Stealer – Marktführer

Lumma Stealer dominiert den Markt mit 1.200 Suchanfragen pro Monat, was seine weit verbreitete Nutzung unter Cyberkriminellen widerspiegelt. Diese Variante verzeichnete einen Anstieg der Erkennungen um 369 %, obwohl Microsoft und Cloudflare im Mai 2025 2.300 damit verbundene Domains beschlagnahmt hatten. Seine Widerstandsfähigkeit beruht auf einer verteilten Infrastruktur und einer schnellen Anpassung an Strafverfolgungsmaßnahmen.

Die technische Analyse zeigt die ausgeklügelten Fähigkeiten von Lumma, darunter eine fortschrittliche Browser-Extraktion, die auf die Passwortspeicher von Chrome, Firefox und Edge abzielt. Die malware mehrere Anti-Analyse-Techniken und erkennt virtuelle Maschinen und Sandbox-Umgebungen, um automatisierten Analysen zu entgehen. Dank ihrer modularen Architektur können Betreiber die Payloads anpassen und je nach Zielprofil Funktionen hinzufügen oder entfernen. Die Kommunikation erfolgt über verschlüsselte Kanäle unter Verwendung von Domain-Generierungsalgorithmen (DGAs), die die Bekämpfung erschweren.

Der Erfolg von Lumma spiegelt die Ausgewogenheit zwischen Raffinesse und Benutzerfreundlichkeit wider. Das Management-Panel bietet Echtzeitstatistiken, automatisierte Protokollanalyse und integrierte Monetarisierungstools. Betreiber können gestohlene Anmeldedaten nach Wert filtern und so automatisch hochwertige Ziele wie Unternehmenskonten oder Kryptowährungs-Wallets identifizieren. Diese Effizienz hat Lumma zur bevorzugten Wahl sowohl für erfahrene Gruppen als auch für Einsteiger unter den Kriminellen gemacht.

Aufkommende Bedrohungen im Jahr 2025

Im Jahr 2025 sind drei neue Varianten als erhebliche Bedrohungen aufgetaucht, die jeweils einzigartige Fähigkeiten in das Ökosystem der Infostealer einbringen:

Acreed Stealer wurde Anfang 2025 mit einem modularen Design auf den Markt gebracht, das eine individuelle Auswahl der Funktionen ermöglicht. Mit einem wettbewerbsfähigen Preis von 200 US-Dollar pro Monat zielt Acreed auf Browser-Anmeldedaten, Kryptowährungs-Wallets und Systeminformationen ab. Seine Architektur legt den Schwerpunkt auf Tarnung, indem legitime Windows-Prozesse für die Injektion genutzt und gängige Erkennungsmuster vermieden werden. Die Verbreitung erfolgt in erster Linie über phishing Malvertising-Kampagnen, die sich an Unternehmensnutzer richten.

StealC V2 (Monster V2) veröffentlichte im November 2025 die Version 2.2.4, in die die Erfahrungen aus den Razzien der Strafverfolgungsbehörden eingeflossen sind. Das monatliche Abonnement für 200 US-Dollar umfasst JSON-basierte Befehls- und Kontrollprotokolle für eine verbesserte Umgehung, Multi-Monitor-Screenshot-Funktionen zum Erfassen sensibler Informationen und eine verbesserte Browser-Datenextraktion einschließlich Dateien zur Wiederherstellung von Sitzungen. Die Anti-Analyse-Techniken von StealC V2 erkennen und umgehen moderne EDR-Lösungen und tragen so zu einer Umgehungsrate von 66 % bei Infostealern bei.

Nexus Stealer hat nach dem Ausfall von RedLine rasch Marktanteile gewonnen und konzentriert sich auf das Sammeln von Anmeldedaten und den Diebstahl von Sitzungstoken. Zu seinen Funktionen gehören das Anvisieren von Passwort-Manager-Datenbanken, das Extrahieren von Backup-Codes für die Zwei-Faktor-Authentifizierung und der raffinierte Diebstahl von Cookies unter Umgehung der Website-Isolierung. Nexus repräsentiert die nächste Generation von Infostealern und nutzt maschinelles Lernen für die Priorisierung von Zielen und die automatisierte Ausnutzung gestohlener Anmeldedaten.

How stolen credentials fueled ransomware and nation-state attacks (2024–2026)

Beispiele aus der Praxis zeigen, wie Infostealer zu Katastrophen für Unternehmen führen können. Diese Fälle verdeutlichen Angriffsmuster, das Ausmaß der Auswirkungen und die Kettenreaktion von Ausfällen, die auf die Kompromittierung von Anmeldedaten folgen.

Snowflake supply chain compromise — April 2024

The Snowflake supply chain compromise demonstrated how infostealers enable complex, multi-stage attacks. Six different infostealer strains compromised developer machines, stealing credentials later used to access 165 customer environments. The attack bypassed traditional security boundaries, exploiting trusted relationships between vendors and customers. This incident forced an industry-wide reevaluation of cloud security practices, particularly around third-party access management.

Gmail credential leak — October 2025

The October 2025 leak of 183 million Gmail credentials exemplifies the massive scale of modern credential theft. Harvested through Synthient Stealer and other variants, this 400GB dataset flooded underground markets, driving credential prices to historic lows of $10 per account. Google's response — mass password resets and enhanced monitoring — highlighted the reactive nature of current defenses against proactive attackers.

Operation Endgame takedown — November 2025

Operation Endgame's November 2025 takedown revealed the infrastructure supporting infostealer operations. The seizure of 1,025+ servers and 20 domains disrupted access to 100,000+ compromised cryptocurrency wallets. Yet within days, new infrastructure emerged, demonstrating the resilience of the infostealer ecosystem. Law enforcement's cat-and-mouse game with operators continues, with each takedown providing temporary relief before variants adapt and resurface.

Axios supply chain compromise — April 2026

The Axios supply chain compromise extended the infostealer threat into one of the most widely used JavaScript libraries in enterprise development environments. Attackers used stolen developer credentials, consistent with infostealer tradecraft — to inject malicious code into a trusted dependency, exposing downstream organizations before the compromise was detected. The incident reinforced a pattern established by Snowflake, credential theft from a single developer account can cascade into hundreds of organizational breaches through trusted software supply chains.

See how the Axios breach exposed supply chain security gaps →

Dieransomware

Over half of ransomware victims had infostealer traces recorded beforehand, making credential theft not a parallel threat to ransomware, but its most reliable precursor. Stolen credentials are sold to specialized groups for exploitation, with infostealers serving as the consistent first stage in the chain. The HellCat ransomware campaign exemplified this pipeline, using JIRA credentials obtained from stealer logs to gain initial access. Once inside, attackers escalated privileges, moved laterally, and deployed ransomware, causing millions in damages.

Recorded Future identified infostealers as the primary initial infection vector across tracked incidents during the 2025, the first time a single malware category has held that position for a full calendar year.

Die Zeitspanne vom Diebstahl der Anmeldedaten bis ransomware beträgt durchschnittlich 4 bis 7 Tage, wobei hochentwickelte Gruppen auch schneller vorgehen können. Dieses Zeitfenster stellt den kritischen Zeitraum für die Erkennung und Reaktion dar. Unternehmen, die den Diebstahl von Anmeldedaten innerhalb weniger Stunden erkennen und darauf reagieren, können eine Eskalation verhindern, während diejenigen, die Tage dafür benötigen, unvermeidlich kompromittiert werden. Die durchschnittliche Erkennungszeit von 4 Tagen bedeutet, dass die meisten Unternehmen Infektionen erst entdecken, nachdem die Angreifer die gestohlenen Daten bereits zu Geld gemacht haben.

Infostealer erkennen und verhindern

Eine wirksame Abwehr von Infostealern erfordert mehrschichtige Strategien, die technische Kontrollen, Prozessverbesserungen und Benutzerschulungen kombinieren. Die Umgehungsrate von 66 % bei endpoint zeigt, warum Unternehmen sich nicht auf einzelne Sicherheitsebenen verlassen können.

Erkennungsstrategien müssen der heimlichen Natur und den polymorphen Fähigkeiten von Infostealern Rechnung tragen. Moderne Varianten verwenden ausgefeilte Umgehungstechniken, darunter Process Hollowing, Living-off-the-Land-Taktiken und verschlüsselte Kommunikation. Verhaltensanalysen bieten eine zuverlässigere Erkennung als signaturbasierte Ansätze, da sie sich auf anomale Aktivitätsmuster statt auf bestimmte malware konzentrieren. Mit Hilfe von Speicherforensik lassen sich Infostealer aufspüren, die vollständig im RAM operieren, während Lösungen für die Netzwerkerkennung und -reaktion (NDR) verdächtige Datenabflussmuster identifizieren.

Zur Prävention müssen sowohl technische Schwachstellen als auch menschliche Faktoren berücksichtigt werden. Technologische Kontrollen bieten zwar einen wesentlichen Schutz, doch das Verhalten der Benutzer bleibt der wichtigste Infektionsvektor. Unternehmen müssen ein Gleichgewicht zwischen Sicherheitsanforderungen und Benutzerfreundlichkeit finden und sicherstellen, dass Schutzmaßnahmen die Produktivität nicht beeinträchtigen. Die rasante Entwicklung der Techniken zum Diebstahl von Informationen bedeutet, dass die Abwehrmaßnahmen von gestern gegen die Bedrohungen von heute versagen können und eine kontinuierliche Anpassung und Verbesserung erforderlich ist.

Zu den wirksamen Erkennungsmethoden gehören:

1. Verhaltensanalyse zur Überwachung von Zugriffsmustern auf Anmeldedaten
2. Speicherforensik zur Identifizierung von bösartiger Code-Injektion
3. Netzwerkverkehrsanalyse zur Erkennung von C2-Kommunikation
4. Überwachung der Dateiintegrität zur Erkennung unbefugter Änderungen
5. Browser-Erweiterungsprüfung zur Identifizierung bösartiger Ergänzungen
6. API-Aufrufüberwachung zur Verfolgung verdächtiger Systeminteraktionen
7. Registry-Analyse zur Ermittlung von Persistenzmechanismen
8. ÜberwachungCloud zur Erkennung anomaler Authentifizierungen
9. SIEM-Korrelation Aggregation von Sicherheitsereignissen über Systeme hinweg

Warum herkömmliche EDR nicht ausreicht

Endpoint detection and response (EDR) solutions face significant challenges detecting modern infostealers. The 66% bypass rate reflects sophisticated evasion techniques specifically designed to defeat endpoint security. The exposure is sharpest at the device level: 30% of compromised systems were managed enterprise devices, while 46% were unmanaged BYOD, meaning nearly half of all infections begin outside the reach of corporate endpoint programs entirely (INTERPOL, 2025).

Infostealers use legitimate Windows APIs for credential extraction, making behavior appear normal to EDR solutions. They operate briefly, extracting data and terminating before detection algorithms flag suspicious activity.

Moderne Varianten verwenden mehrere Anti-EDR-Techniken, darunter direkte Systemaufrufe, die API-Hooks umgehen, Prozessinjektionen in vertrauenswürdige Anwendungen und Operationen auf Kernel-Ebene, die eine Überwachung im Benutzermodus vermeiden. Sie erkennen Virtualisierungs- und Sandbox-Umgebungen und bleiben während der Analyse inaktiv. Einige Varianten zielen speziell auf EDR-Prozesse ab und versuchen, Sicherheitstools zu deaktivieren oder zu beschädigen, bevor sie mit der Extraktion von Anmeldedaten beginnen.

Die Lösung besteht nicht darin, EDR aufzugeben, sondern es durch ergänzende Technologien zu erweitern. ITDR-Lösungen (Identity Threat Detection and Response) konzentrieren sich eher auf identitätsbasierte Anomalien als auf endpoint . Die Netzwerkerkennung identifiziert Datenexfiltration unabhängig von endpoint . Täuschungstechnologien erstellen Honey-Credentials, die bei Zugriff Alarm auslösen. Dieser tiefgreifende Verteidigungsansatz behebt die Einschränkungen von EDR und gewährleistet gleichzeitig endpoint .

Verfahren zur Reaktion nach einer Infektion

Geschwindigkeit ist entscheidend für eine erfolgreiche Reaktion auf Infostealer-Infektionen. Die 4-Stunden-Service-Level-Vereinbarung (SLA) für die Zurücksetzung von Anmeldedaten entspricht bewährten Verfahren, erfordert jedoch Vorbereitung und Automatisierung. Jede Stunde Verzögerung erhöht die Wahrscheinlichkeit einer Monetarisierung der Anmeldedaten und von Folgeangriffen.

Sofortmaßnahmen müssen sich auf die Eindämmung und Ungültigkeitserklärung von Anmeldedaten konzentrieren. Dazu gehören die Isolierung infizierter Systeme vom Netzwerkzugang, das Zurücksetzen aller potenziell kompromittierten Passwörter, das Widerrufen aktiver Sitzungen und Authentifizierungstoken sowie die Überprüfung der Zugriffsprotokolle auf verdächtige Authentifizierungen. Unternehmen sollten betroffene Benutzer und Partner benachrichtigen und gleichzeitig forensische Beweise für die Untersuchung sichern. Die vorübergehende Implementierung zusätzlicher Authentifizierungsfaktoren und die Überwachung auf Versuche der Wiederverwendung von Anmeldedaten tragen dazu bei, weitere Kompromittierungen zu verhindern.

Die Wiederherstellung geht über technische Abhilfemaßnahmen hinaus und umfasst auch Prozessverbesserungen und Benutzerschulungen. Unternehmen müssen Infektionsvektoren analysieren, um eine Wiederholung zu verhindern, Sicherheitskontrollen auf der Grundlage der gewonnenen Erkenntnisse aktualisieren und die Überwachung auf ähnliche Angriffsmuster verstärken. Benutzerschulungen sollten sich mit spezifischen Social-Engineering-Taktiken befassen, während Sicherheitsteams ihre Verfahren zur Reaktion auf Vorfälle auf der Grundlage ihrer Erfahrungen überarbeiten sollten. Die Überwachung des Dark Webs auf durchgesickerte Anmeldedaten und regelmäßige Sicherheitsbewertungen helfen dabei, bestehende Risiken zu identifizieren.

Infostealer und Compliance

Regulatorische Rahmenbedingungen erkennen den Diebstahl von Zugangsdaten zunehmend als kritisches Compliance-Problem an. Unternehmen stehen unter zunehmendem Druck, umfassende Kontrollen zum Schutz von Authentifizierungssystemen und Benutzeridentitäten zu implementieren.

Das MITRE ATT&CK ordnet Infostealer-Verhaltensweisen mehreren Techniken zu, darunter T1003 (OS Credential Dumping), T1555 (Credentials from Password Stores), T1539 (Steal Web Session Cookie), T1056 (Input Capture) und T1005 (Data from Local System). Diese Zuordnung ermöglicht es Unternehmen, ihre Verteidigungsstrategien an anerkannten Bedrohungsmustern auszurichten. Compliance-Frameworks beziehen sich bei der Definition von Sicherheitsanforderungen auf diese Techniken.

Das NIST Cybersecurity Framework 2.0 befasst sich mit Infostealer-Bedrohungen durch mehrere Kontrollfamilien. PR.AC (Identitätsmanagement und Zugriffskontrolle) erfordert eine starke Authentifizierung und den Schutz von Anmeldedaten. DE.CM (Kontinuierliche Sicherheitsüberwachung) schreibt Erkennungsfunktionen für den Diebstahl von Anmeldedaten vor. RS.AN (Analyse) erfordert Untersuchungsverfahren für mutmaßliche Kompromittierungen. Diese Kontrollen bilden die Grundlage für die Einhaltung gesetzlicher Vorschriften in allen Branchen.

Die EU-NIS2-Richtlinie, die im Oktober 2024 in Kraft tritt, befasst sich speziell mit Verstößen gegen die Sicherheitsvorschriften für Zugangsdaten. Unternehmen müssen schwerwiegende Vorfälle innerhalb von 24 Stunden melden und innerhalb von 72 Stunden detaillierte Berichte vorlegen. Der Diebstahl von Zugangsdaten, der kritische Dienste betrifft, löst eine Meldepflicht gegenüber den nationalen Behörden aus. Die Strafen für Verstöße können bis zu 2 % des weltweiten Jahresumsatzes betragen, was die finanziellen Risiken unzureichender Kontrollen deutlich macht.

Moderne Ansätze zur Abwehr von Infostealern

Die Sicherheitsbranche hat sich über traditionelle Perimeter-Abwehrmaßnahmen hinaus weiterentwickelt und erkannt, dass der Diebstahl von Zugangsdaten identitätsorientierte Strategien erfordert. Moderne Ansätze gehen von Sicherheitsverletzungen aus und konzentrieren sich darauf, die Auswirkungen durch architektonische Veränderungen und neue Technologien zu begrenzen.

Zero Trust verändert grundlegend, wie Unternehmen mit der Sicherheit von Anmeldedaten umgehen. Anstatt authentifizierten Benutzern implizit zu vertrauen, überprüft Zero Trust Identität und Berechtigungen. Dieser Ansatz begrenzt den Wert gestohlener Anmeldedaten, indem für sensible Aktionen eine zusätzliche Überprüfung erforderlich ist. Die Mikrosegmentierung begrenzt Sicherheitsverletzungen und verhindert seitliche Bewegungen selbst mit gültigen Anmeldedaten. Das Prinzip der geringsten Privilegien stellt sicher, dass kompromittierte Konten nur auf die notwendigen Ressourcen zugreifen können.

Die automatisierte Überwachung des Dark Webs ist für eine proaktive Verteidigung unverzichtbar geworden. Dienste scannen kontinuierlich Untergrundmärkte nach Zugangsdaten von Unternehmen und warnen frühzeitig vor Kompromittierungen. Durch die Integration in Identitätsmanagementsysteme ist eine automatische Reaktion möglich, sobald Zugangsdaten online auftauchen. Algorithmen für maschinelles Lernen identifizieren Muster, die auf gezielte Angriffe hindeuten, während Threat-Intelligence-Feeds Kontextinformationen zu neuen Kampagnen liefern. Diese proaktive Haltung ermöglicht Unternehmen den Übergang von einer reaktiven zu einer prädiktiven Sicherheitsstrategie.

Device Bound Session Credentials (DBSC) stellen die nächste Entwicklungsstufe im Bereich der Authentifizierungssicherheit dar. Diese neue Technologie bindet Sitzungstoken kryptografisch an bestimmte Geräte und verhindert so Replay-Angriffe, selbst wenn Cookies gestohlen werden. Erste Implementierungen zeigen vielversprechende Ergebnisse, allerdings hängt die breite Einführung noch von der Unterstützung durch Browser und Anwendungen ab. FIDO2-Passkeys, die mittlerweile von 93 % der Benutzerkonten unterstützt werden, bieten sofortigen Schutz durch eine phishing Authentifizierung, die von Infostealern nicht kompromittiert werden kann.

Wie Vectra AI über die Erkennung von Infostealern Vectra AI

Vectra AI approaches infostealer detection through an identity-centric lens, combining network and identity signals to identify credential theft attempts before exfiltration occurs. Rather than relying on malware signatures that quickly become obsolete, Attack Signal Intelligence™ focuses on the consistent behaviors all infostealers must exhibit, accessing credential stores, establishing command channels, and exfiltrating data. By correlating identity anomalies with network patterns, security teams gain visibility into attacks that bypass traditional endpoint protection.

Behavioral detection mapped to attacker actions

Vectra AI's behavioral AI models detect the post-infection activity that follows credential theft, anomalous authentication patterns, lateral movement using stolen credentials, privilege escalation, and unusual access to sensitive resources — without requiring prior knowledge of the specific infostealer family involved. Detections map directly to MITRE ATT&CK credential access (TA0006) and collection (TA0009) techniques, giving SOC teams framework-aligned signal they can act on immediately.

Identity and session token monitoring

When a stolen session token is used from attacker infrastructure, no new login event occurs and no MFA challenge fires. Vectra AI tracks how identities authenticate and move across environments, flagging behavioral deviations from established baselines even when the credential in use is technically valid. This is a detection layer that log-based systems and endpoint agents cannot provide reliably at scale.

Network-level visibility beyond the endpoint

Because 66% of infostealer infections bypass endpoint security and many begin on unmanaged or personal devices, Vectra AI's network-level observability covers all devices communicating on the network, managed or not. Suspicious data exfiltration patterns, C2 communication characteristics, and anomalous outbound transfers are observable at the network level regardless of whether the infected device runs a managed agent.

Correlated attack narratives via Jetstream

Vectra AI's Jetstream real-time streaming engine connects early credential-abuse signals to subsequent lateral movement and privilege escalation within a single correlated attack narrative. Security teams see the full scope of post-infection activity, not isolated alerts requiring manual correlation, enabling faster, more confident response before attackers escalate from credential theft to ransomware deployment.

Explore how Vectra AI surfaces the post-infection signals infostealers leave behind, the network and identity behaviors that endpoint agents and log-based tools are not built to catch.

Künftige Trends und neue Überlegungen

Die Cybersicherheitslandschaft entwickelt sich weiterhin rasant, wobei Infostealer an vorderster Front der neuen Herausforderungen stehen. In den nächsten 12 bis 24 Monaten sollten sich Unternehmen auf mehrere wichtige Entwicklungen vorbereiten, die die Art und Weise, wie wir uns gegen den Diebstahl von Anmeldedaten schützen, grundlegend verändern werden.

Künstliche Intelligenz verändert sowohl die Angriffs- als auch die Verteidigungsfähigkeiten. Angreifer nutzen KI, um überzeugende phishing zu erstellen, automatisch hochwertige Ziele in gestohlenen Datensätzen zu identifizieren und polymorphe malware zu entwickeln, malware sich an Verteidigungsmaßnahmen anpasst. Verteidiger kontern mit KI-gestützter Verhaltensanalyse, automatisierter threat huntingund Vorhersagemodellen, die wahrscheinliche Ziele identifizieren. Dieser KI-Wettlauf wird sich bis 2026 beschleunigen, wobei sich die Vorteile zwischen Angreifern und Verteidigern mit zunehmender Reife der Technologien verschieben werden.

Quantencomputer stellen eine langfristige Bedrohung für aktuelle Verschlüsselungsmethoden zum Schutz gespeicherter Anmeldedaten dar. Auch wenn es noch Jahre dauern wird, bis Quantencomputer praxistauglich sind, müssen Unternehmen sich auf Angriffe vorbereiten, bei denen Angreifer verschlüsselte Daten stehlen, um sie später zu entschlüsseln. Die vom NIST im Jahr 2024 fertiggestellten Post-Quanten-Kryptografie-Standards müssen in allen Authentifizierungssystemen implementiert werden. Unternehmen sollten ihre kryptografischen Abhängigkeiten inventarisieren und Migrationspläne für quantenresistente Algorithmen entwickeln.

Der regulatorische Druck wird sich nach den viel beachteten Verstößen aufgrund von Diebstahl von Zugangsdaten weiter verstärken. Die NIS2-Richtlinie der EU schafft Präzedenzfälle, denen andere Regionen wahrscheinlich folgen werden, mit obligatorischen Meldepflichten bei Verstößen und erheblichen Strafen für unzureichende Kontrollen. Der Entwurf für ein US-Bundesgesetz zum Datenschutz enthält Bestimmungen, die sich speziell mit dem Schutz von Zugangsdaten und der Identitätsprüfung befassen. International tätige Unternehmen sehen sich mit einem komplexen Flickenteppich von Anforderungen konfrontiert, die umfassende Identitätssicherheitsprogramme erforderlich machen.

Die Investitionsprioritäten für die nächsten 24 Monate sollten sich auf drei wichtige Bereiche konzentrieren. Erstens müssen Unternehmen die Einführung von Passkeys beschleunigen und bis zum zweiten Quartal 2026 eine 100-prozentige Abdeckung für privilegierte Konten anstreben. Zweitens sollte die Bereitstellung von ITDR über Pilotprogramme hinaus auf die Produktionsimplementierung ausgeweitet werden, die alle Identitätsspeicher umfasst. Drittens müssen Zero Trust von konzeptionellen Rahmenwerken zu operativen Architekturen mit kontinuierlicher Verifizierung und Mikrosegmentierung übergehen.

Die Konvergenz von IT- und OT-Umgebungen schafft neue Angriffsflächen für Infostealer. Industrielle Steuerungssysteme werden zunehmend mit Unternehmensnetzwerken verbunden, wodurch die Betriebstechnologie dem Risiko des Diebstahls von Anmeldedaten ausgesetzt ist. Die kompromittierten Anmeldedaten eines Ingenieurs könnten den Zugriff auf kritische Infrastrukturen ermöglichen und so Insider-Bedrohungsszenarien schaffen, die über den Datendiebstahl hinaus auch physische Schäden verursachen können. Unternehmen müssen ihre Identitätssicherheitsprogramme auf OT-Umgebungen ausweiten und spezielle Kontrollen für industrielle Systeme implementieren.

Schlussfolgerung

The infostealer epidemic has quietly redrawn the threat landscape, not through louder attacks, but through cheaper ones. With 1.8 billion credentials stolen in 2025 alone and 86% of breaches involving credential theft, organizations can no longer treat identity security as secondary to network protection. The emergence of sophisticated variants like Lumma, Acreed, and StealC V2, available for just $200 monthly, has democratized advanced attack capabilities while the 66% EDR bypass rate exposes critical gaps in current defenses.

Success against infostealers requires embracing identity-centric security strategies that assume compromise rather than perfect prevention. Organizations must accelerate adoption of FIDO2 passkeys, now supported by 93% of accounts, while implementing ITDR solutions that detect credential theft attempts regardless of malware variants.

Explore how Vectra AI's behavioral detection across network, identity, and cloud surfaces the post-infection signals infostealers leave behind, the signals that endpoint agents and log-based tools are not built to catch.