Wie Infostealer Zugangsdaten stehlen und der Entdeckung entgehen

Wichtige Erkenntnisse

46 % der kompromittierten Systeme waren nicht verwaltete BYOD-Geräte, was bedeutet, dass fast die Hälfte aller Infektionen außerhalb des Wirkungsbereichs endpoint von Unternehmen beginnt (INTERPOL, 2025)
Moderne Varianten wie Lumma, Acreed und StealC V2 kosten nur 200 Dollar im Monat und machen so ausgeklügelte Angriffe für jedermann zugänglich.
FIDO2-Passkeys, die mittlerweile von 93 % der Konten unterstützt werden, bieten den stärksten Schutz vor dem Diebstahl von Anmeldedaten.
Organisationen müssen bei Verdacht auf Infektionen eine Reaktionszeit von vier Stunden einhalten, obwohl die derzeitige Erkennung durchschnittlich vier Tage dauert.

In einer Zeit, in der digitale Identitäten der Schlüssel zu unserem Königreich sind, wütet eine stille Epidemie in der Cyberlandschaft. Infostealer – hochentwickelte malware Abgreifen malware Anmeldedaten – haben allein im Jahr 2025 1,8 Milliarden Anmeldedaten von 5,8 Millionen Geräten gestohlen, was einem Anstieg von 800 % gegenüber den Vorjahren entspricht. Diese erschreckende Zahl von Anmeldedaten-Diebstählen ist mittlerweile für 86 % aller Sicherheitsverletzungen verantwortlich und verändert grundlegend die Art und Weise, wie Unternehmen mit Sicherheit umgehen müssen.

Die Schwere dieser Bedrohung wurde im Oktober 2025 unbestreitbar, als 183 Millionen Gmail-Anmeldedaten die Untergrundmärkte überschwemmten und für nur 10 US-Dollar pro Konto verkauft wurden. Obwohl es sich nicht um einen Einbruch in die Systeme von Google handelte, zeigte dieser massive Datenleck, wie endpoint zu Sicherheitsdesastern im Unternehmensmaßstab führen können. Für Sicherheitsexperten, die immer komplexere Umgebungen schützen müssen, ist das Verständnis von Infostealern keine Option, sondern für das Überleben des Unternehmens unerlässlich.

Was sind Infostealer?

Infostealer sind eine spezielle Kategorie von malware , um unbemerkt sensible Informationen aus infizierten Systemen zu extrahieren, wobei der Schwerpunkt auf Authentifizierungsdaten, Sitzungstoken und persönlichen Daten liegt. Diese Schadprogramme arbeiten heimlich im Hintergrund und sammeln in Browsern gespeicherte Passwörter, Schlüssel für Kryptowährungs-Wallets, Systeminformationen und aktive Sitzungscookies, die die Multi-Faktor-Authentifizierung umgehen. Im Gegensatz zu ransomware ihre Anwesenheit durch Verschlüsselung bekannt gibt, bleiben Infostealer unentdeckt, während sie systematisch digitale Identitäten plündern.

Die Raffinesse moderner Infostealer geht weit über den einfachen Passwortdiebstahl hinaus. Diese Tools extrahieren umfassende digitale Profile, darunter Browserverläufe, Daten für die automatische Ausfüllung, Screenshots und Systemkonfigurationen. Im Rahmen eines Malware(MaaS) können Kriminelle für nur 200 US-Dollar pro Monat Zugang zu fortschrittlichen Infostealer-Plattformen mieten, wodurch technische Einstiegshürden beseitigt werden. Diese Demokratisierung von Cybercrime-Tools hat den Diebstahl von Anmeldedaten von einer spezialisierten Fertigkeit zu einer alltäglichen Dienstleistung gemacht.

Das Geschäftsmodell hinter Infostealern zeigt, warum sie zur bevorzugten Waffe der Cyberkriminalität geworden sind. Gestohlene Anmeldedaten fließen durch eine ausgeklügelte Untergrundwirtschaft, in der Initial Access Brokers (IABs) den Zugriff auf kompromittierte Konten kaufen, bündeln und weiterverkaufen. Eine einzige Unternehmensanmeldung kann Tausende von Dollar einbringen, wenn sie Zugriff auf wertvolle Netzwerke gewährt. Dieser wirtschaftliche Anreiz treibt die kontinuierliche Innovation bei Ausweichtechniken und Zielstrategien voran.

Das Ausmaß der Bedrohung durch Infostealer

Die Zahlen zeichnen ein ernüchterndes Bild von der Verbreitung von Infostealern. Allein im ersten Halbjahr 2025 wurden 1,8 Milliarden Zugangsdaten gestohlen – ein Anstieg um 800 % gegenüber den vorangegangenen sechs Monaten –, während im gesamten Jahr 2024 3,2 Milliarden Zugangsdaten gestohlen wurden, von denen 75 % über Infostealer erbeutet wurden (IBM X-Force, 2024). Ein Datenleck kostet Unternehmen weltweit mittlerweile durchschnittlich 4,44 Millionen US-Dollar, in den Vereinigten Staaten sogar 10,22 Millionen US-Dollar. Geografische Analysen zeigen eine Konzentration der Infektionen in Indien (10 %) und Brasilien (8 %), wobei jedoch keine Region verschont bleibt.

Die Strafverfolgungsbehörden haben ihre bislang aggressivste koordinierte Aktion gestartet: Im Rahmen der „Operation Endgame“ wurde 2024 die zentrale Infrastruktur eines Infostealers zerschlagen, gefolgt von der „Operation Secure“ der INTERPOL im Jahr 2025, bei der 20.000 bösartige IP-Adressen und Domains gesperrt, 41 Server beschlagnahmt, 32 Verdächtige festgenommen und 216.000 Opfer benachrichtigt wurden. Doch schon wenige Tage nach jeder Aktion tauchte neue Infrastruktur auf, was bestätigt, dass Abschaltungen zwar Reibungsverluste verursachen, aber ein Ökosystem, das auf Dezentralisierung und schneller Wiederherstellung basiert, nicht überholen können.

Unternehmen, die Lösungen zur Erkennung und Bekämpfung von Identitätsbedrohungen (ITDR) einsetzen, berichten von deutlich verbesserten Erkennungsraten, auch wenn die Zeitspanne zwischen Infektion und Entdeckung im Durchschnitt immer noch vier Tage beträgt.

Wie Infostealer funktionieren

Das Verständnis der technischen Mechanismen von Infostealern verdeutlicht, warum herkömmliche Sicherheitsmaßnahmen oft versagen. Diese hochentwickelten Tools nutzen mehrere Extraktionsmethoden, fortschrittliche Umgehungstechniken und eine widerstandsfähige Command-and-Control-Infrastruktur, um einen dauerhaften Zugriff auf die Datenströme der Opfer aufrechtzuerhalten.

Die Infektionskette beginnt in der Regel mit Social Engineering, bei dem eher die menschliche Psychologie als technische Schwachstellen ausgenutzt werden. Phishing mit bösartigen Anhängen sind nach wie vor der Hauptvektor, obwohl Malvertising und kompromittierte Software-Downloads durch Initiativen wie die ClickFix-Kampagne um 700 % zugenommen haben. Nach der Ausführung beginnen Infostealer sofort damit, gespeicherte Anmeldedaten aus Browsern, E-Mail-Clients und Passwort-Managern zu sammeln und gleichzeitig eine Verbindung zur Infrastruktur des Angreifers herzustellen.

Moderne Infostealer verwenden ausgeklügelte Umgehungstechniken, mit denen sie Sicherheitskontrollen umgehen können. Sie nutzen Process Hollowing, um sich in legitimen Anwendungen zu verstecken, wenden Anti-Analyse-Tricks an, um virtuelle Maschinen zu erkennen, und nutzen dateilose Techniken, die vollständig im Speicher ausgeführt werden. Das JSON-basierte Command-and-Control-Protokoll von StealC V2 ist ein Beispiel für diese Entwicklung. Es passt sein Verhalten dynamisch an die Zielumgebung an und sorgt gleichzeitig für verschlüsselte Kommunikationskanäle, die gegen Netzwerküberwachung resistent sind.

Der Extraktionsprozess folgt einer methodischen Abfolge:

Systemprofilierung – Erfassen von Hardware-Spezifikationen, installierter Software und Sicherheitstools
Browser-Harvesting – Extrahieren gespeicherter Passwörter, Cookies und Daten zur automatischen Ausfüllung
Anwendungs-Targeting – Diebstahl von Anmeldedaten aus E-Mail-Clients und Messaging-Apps
Wallet-Erkennung – Suche nach Kryptowährungsschlüsseln und Seed-Phrasen
Sitzungsentführung – Erfassen aktiver Authentifizierungstoken
Datenpaketierung – Komprimierung gestohlener Informationen in verschlüsselte Archive
Exfiltration — Übertragung von Daten an Befehls- und Kontrollserver
Marktvorbereitung – Formatierung von Referenzen für den Untergrundverkauf

Windows-APIs, die häufig von Infostealern ins Visier genommen werden

Um Anmeldedaten effizient abzugreifen, dringen Infostealer nicht in das Betriebssystem ein, sondern nutzen die „Vordertür“. Sie rufen dieselben legitimen Windows-APIs auf, auf die Browser, Passwortmanager und Unternehmensanwendungen täglich zurückgreifen – genau deshalb fügen sich ihre Aktivitäten nahtlos in das normale Prozessverhalten ein. Endpoint , die auf bösartige Signaturen überwachen, melden selten, was wie routinemäßige Systemaufrufe aussieht. Dies sind die spezifischen Komponenten, auf die Infostealer abzielen, was jede einzelne enthält und die genaue Technik, mit der eine legitime API in ein Tool zum Sammeln von Anmeldedaten verwandelt wird.

Windows-API / Komponente	Was darin gespeichert ist	Wie Datendiebe dies ausnutzen
LSASS-Prozessspeicher	Aktive Authentifizierungstoken, NTLM-Hashes, Kerberos-Tickets	Speichereinspeisung oder Prozess-Dump, um aktuelle Anmeldedaten zu extrahieren, ohne Anmeldevorgänge auszulösen
DPAPI (Data Protection API)	Browser-Hauptschlüssel, private Zertifikatsschlüssel, gespeicherte Anmeldedaten für Apps	Ruft „CryptUnprotectData“ innerhalb der Benutzersitzung des Opfers auf, um gespeicherte Anmeldedaten im Klartext zu entschlüsseln
Windows-Anmeldeinformationen-Manager	Gespeicherte Netzwerkpasswörter, Domänen-Anmeldedaten, Anmeldedaten für Anwendungen	Direkte API-Abfrage zum Extrahieren aller gespeicherten Anmeldeinformationen in einem einzigen Vorgang
SQLite-Datenbanken im Browser	Gespeicherte Passwörter, Sitzungs-Cookies, Daten für die automatische Ausfüllung (Chrome, Edge, Firefox)	Kopiert und entschlüsselt lokale Datenbankdateien, um Anmeldedaten und Live-Sitzungstoken zu extrahieren
Zwischenablage-API	Kopierter Text, einschließlich Passwörtern, API-Schlüsseln und Adressen von Krypto-Wallets	Hooks fangen Zwischenablage-Ereignisse ab oder fragen den Puffer ab, um Anmeldedaten abzufangen, sobald Benutzer diese kopieren
SetWindowsHookEx / GetAsyncKeyState	Tastatureingaben in allen aktiven Anwendungen	Installiert einen Low-Level-Keyboard-Hook, um Anmeldedaten zu erfassen, sobald sie in einer beliebigen Anwendung eingegeben werden

Das Malware(MaaS)-Ökosystem

Das MaaS-Modell hat Infostealer von maßgeschneiderten Tools zu kommerziellen Produkten gemacht. Für 200 US-Dollar im Monat erhalten Kriminelle Zugang zu hochentwickelten Plattformen, darunter anpassbare malware , bulletproof Hosting, automatisiertes Kampagnenmanagement und Echtzeit-Statistik-Dashboards. Dieses Abonnementmodell bietet kontinuierliche Updates und stellt sicher, dass malware den Erkennungssignaturen malware einen Schritt voraus malware .

Plattformbetreiber kümmern sich um die technische Komplexität, während sich die „Kunden“ auf den Vertrieb konzentrieren. Funktionen wie die modulare Architektur ermöglichen es Angreifern, bestimmte Funktionen auszuwählen, wodurch Dateigrößen und Erkennungsprofile reduziert werden. Die Markteinführung von Acreed im Jahr 2025 ist ein Beispiel für diesen Trend und bietet anpassbare Module für Browser-Diebstahl, Kryptowährungs-Targeting und das Sammeln von Unternehmenszugangsdaten. Der wettbewerbsintensive Markt treibt Innovationen voran, wobei Anbieter darum wetteifern, Funktionen wie Screenshots von mehreren Bildschirmen und verbesserte Anti-Analyse-Fähigkeiten hinzuzufügen.

Die Wirtschaftlichkeit von MaaS-Plattformen erklärt ihr explosives Wachstum. Vergleicht man die monatlichen Kosten von 200 US-Dollar mit potenziellen Gewinnen in Höhe von Tausenden pro kompromittiertem Unternehmenskonto, wird der ROI deutlich. Diese Zugänglichkeit hat den Kreis der Bedrohungsakteure von hochentwickelten Gruppen auf opportunistische Kriminelle ausgeweitet und damit die Angriffsfläche, die Unternehmen verteidigen müssen, vervielfacht.

Übertragungswege und Infektionsvektoren

Vertriebsstrategien haben sich über herkömmliche E-Mail-Anhänge hinaus weiterentwickelt. Die ClickFix-Kampagne demonstriert ausgeklügeltes Social Engineering, indem sie gefälschte Fehlermeldungen anzeigt, die Benutzer dazu auffordern, Probleme durch Ausführen bösartiger PowerShell-Befehle zu „beheben“. Diese Kampagnen nutzen vertrauenswürdige Kontexte – Software-Update-Aufforderungen, Browser-Benachrichtigungen und Systemwarnungen –, um die Skepsis der Benutzer zu umgehen.

Angriffe auf die Lieferkette stellen einen neuen Angriffsvektor dar, bei dem Angreifer legitime Software kompromittieren, um Infostealer zu verbreiten. Der Snowflake-Vorfall, an dem sechs verschiedene Infostealer-Varianten beteiligt waren, kompromittierte 165 Umgebungen durch infizierte Tools von Drittanbietern. Suchmaschinenoptimierung (SEO) Poisoning lenkt den Traffic auf bösartige Websites, die gefälschte Software-Cracks und Spielmodifikationen hosten und sich insbesondere an jüngere Bevölkerungsgruppen richten, die sich der Sicherheitsrisiken weniger bewusst sind.

Malvertising-Kampagnen kaufen legitime Werbeflächen, um Infostealer zu verbreiten, und nutzen vertrauenswürdige Plattformen, um ihre Opfer zu erreichen. Diese Anzeigen geben sich oft als beliebte Software aus und führen zu überzeugenden Download-Seiten, die bösartige Payloads hosten. Geografisches und demografisches Targeting stellt sicher, dass die Kampagnen wertvolle Zielgruppen erreichen – Finanzfachleute während der Steuersaison, Gamer während wichtiger Veröffentlichungen oder Studenten während der Prüfungszeit.

Arten von Infostealern

Die Infostealer-Landschaft umfasst verschiedene Varianten, die jeweils über einzigartige Fähigkeiten und Zielprofile verfügen. Das Verständnis dieser Unterschiede hilft Sicherheitsteams dabei, Erkennungsstrategien zu priorisieren und Verteidigungsressourcen effektiv einzusetzen.

Der Markt hat im Jahr 2025 erhebliche Umbrüche erlebt, wobei Strafverfolgungsbehörden etablierte Akteure zerschlagen haben, während neue Varianten schnell die Lücke füllen. Diese ständige Weiterentwicklung stellt Sicherheitsteams vor die Herausforderung, aktuelle Bedrohungsinformationen aufrechtzuerhalten und sich gleichzeitig auf neue Bedrohungen vorzubereiten. Malware zeigt gemeinsame Muster bei den verschiedenen Varianten, obwohl jede Familie unterschiedliche Merkmale aufweist, die maßgeschneiderte Erkennungsansätze erfordern.

Der Wettbewerb treibt Innovationen voran, da Entwickler darum wetteifern, Funktionen hinzuzufügen, die ihre Produkte von anderen abheben. In Updates tauchen regelmäßig fortschrittliche Umgehungstechniken, erweiterte Zielanwendungen und verbesserte Methoden zur Datenexfiltration auf. Threat-Intelligence-Plattformen verfolgen diese Entwicklungen und liefern Sicherheitsteams Indikatoren für Kompromittierungen und Verhaltensmuster, die für die Erkennung unerlässlich sind.

Lumma Stealer – Marktführer

Lumma Stealer dominiert den Markt mit 1.200 Suchanfragen pro Monat, was seine weit verbreitete Nutzung unter Cyberkriminellen widerspiegelt. Diese Variante verzeichnete einen Anstieg der Erkennungen um 369 %, obwohl Microsoft und Cloudflare im Mai 2025 2.300 damit verbundene Domains beschlagnahmt hatten. Seine Widerstandsfähigkeit beruht auf einer verteilten Infrastruktur und einer schnellen Anpassung an Strafverfolgungsmaßnahmen.

Die technische Analyse zeigt die ausgeklügelten Fähigkeiten von Lumma, darunter eine fortschrittliche Browser-Extraktion, die auf die Passwortspeicher von Chrome, Firefox und Edge abzielt. Die malware mehrere Anti-Analyse-Techniken und erkennt virtuelle Maschinen und Sandbox-Umgebungen, um automatisierten Analysen zu entgehen. Dank ihrer modularen Architektur können Betreiber die Payloads anpassen und je nach Zielprofil Funktionen hinzufügen oder entfernen. Die Kommunikation erfolgt über verschlüsselte Kanäle unter Verwendung von Domain-Generierungsalgorithmen (DGAs), die die Bekämpfung erschweren.

Der Erfolg von Lumma spiegelt die Ausgewogenheit zwischen Raffinesse und Benutzerfreundlichkeit wider. Das Management-Panel bietet Echtzeitstatistiken, automatisierte Protokollanalyse und integrierte Monetarisierungstools. Betreiber können gestohlene Anmeldedaten nach Wert filtern und so automatisch hochwertige Ziele wie Unternehmenskonten oder Kryptowährungs-Wallets identifizieren. Diese Effizienz hat Lumma zur bevorzugten Wahl sowohl für erfahrene Gruppen als auch für Einsteiger unter den Kriminellen gemacht.

Aufkommende Bedrohungen im Jahr 2025

Im Jahr 2025 sind drei neue Varianten als erhebliche Bedrohungen aufgetaucht, die jeweils einzigartige Fähigkeiten in das Ökosystem der Infostealer einbringen:

Acreed Stealer wurde Anfang 2025 mit einem modularen Design auf den Markt gebracht, das eine individuelle Auswahl der Funktionen ermöglicht. Mit einem wettbewerbsfähigen Preis von 200 US-Dollar pro Monat zielt Acreed auf Browser-Anmeldedaten, Kryptowährungs-Wallets und Systeminformationen ab. Seine Architektur legt den Schwerpunkt auf Tarnung, indem legitime Windows-Prozesse für die Injektion genutzt und gängige Erkennungsmuster vermieden werden. Die Verbreitung erfolgt in erster Linie über phishing Malvertising-Kampagnen, die sich an Unternehmensnutzer richten.

StealC V2 (Monster V2) veröffentlichte im November 2025 die Version 2.2.4, in die die Erfahrungen aus den Razzien der Strafverfolgungsbehörden eingeflossen sind. Das monatliche Abonnement für 200 US-Dollar umfasst JSON-basierte Befehls- und Kontrollprotokolle für eine verbesserte Umgehung, Multi-Monitor-Screenshot-Funktionen zum Erfassen sensibler Informationen und eine verbesserte Browser-Datenextraktion einschließlich Dateien zur Wiederherstellung von Sitzungen. Die Anti-Analyse-Techniken von StealC V2 erkennen und umgehen moderne EDR-Lösungen und tragen so zu einer Umgehungsrate von 66 % bei Infostealern bei.

Nexus Stealer hat nach dem Ausfall von RedLine rasch Marktanteile gewonnen und konzentriert sich auf das Sammeln von Anmeldedaten und den Diebstahl von Sitzungstoken. Zu seinen Funktionen gehören das Anvisieren von Passwort-Manager-Datenbanken, das Extrahieren von Backup-Codes für die Zwei-Faktor-Authentifizierung und der raffinierte Diebstahl von Cookies unter Umgehung der Website-Isolierung. Nexus repräsentiert die nächste Generation von Infostealern und nutzt maschinelles Lernen für die Priorisierung von Zielen und die automatisierte Ausnutzung gestohlener Anmeldedaten.

Variante	Preis/Monat	Wesentliche Merkmale	Vertriebsmethoden
Lumma	200–500 Dollar	Fortgeschrittene Anti-Analyse, DGA-Domänen, modulare Architektur	Phishing, Malvertising, SEO-Poisoning
Acreed	$200	Anpassbare Module, Windows-Prozessinjektion, Fokus auf Unternehmen	Phishing, Malvertising
StealC V2	$200	JSON C2-Protokoll, Erfassung mehrerer Monitore, EDR-Umgehung	ClickFix, Software-Cracks
Nexus	150–300 Dollar	Passwortmanager-Targeting, 2FA-Umgehung, ML-Priorisierung	Kompromittierte Software, Lieferkette
RedLine	Unterbrochen	Ältere Variante, weit verbreitete Protokolle noch im Umlauf	Verschiedene (eingestellt)
Agent Tesla	50–200 Dollar	Keylogging, Screenshot-Erfassung, E-Mail-Diebstahl	E-Mail-Anhänge, Makros

Wie gestohlene Zugangsdaten ransomware staatlich gelenkte Angriffe begünstigten (2024–2026)

Beispiele aus der Praxis zeigen, wie Infostealer zu Katastrophen für Unternehmen führen können. Diese Fälle verdeutlichen Angriffsmuster, das Ausmaß der Auswirkungen und die Kettenreaktion von Ausfällen, die auf die Kompromittierung von Anmeldedaten folgen.

Sicherheitsverletzung in der Lieferkette von Snowflake – April 2024

Der Angriff auf die Lieferkette von Snowflake hat gezeigt , wie Infostealer komplexe, mehrstufige Angriffe ermöglichen. Sechs verschiedene Varianten von Infostealern drangen in Entwicklerrechner ein und stahlen Zugangsdaten, die später für den Zugriff auf 165 Kundenumgebungen genutzt wurden. Der Angriff umging herkömmliche Sicherheitsgrenzen und nutzte vertrauensvolle Beziehungen zwischen Anbietern und Kunden aus. Dieser Vorfall zwang die gesamte Branche zu einer Neubewertung der cloud , insbesondere im Hinblick auf die Zugriffsverwaltung durch Dritte.

Datenschutzpanne bei Gmail – Oktober 2025

Der im Oktober 2025 bekannt gewordene Diebstahl von 183 Millionen Gmail-Zugangsdaten verdeutlicht das enorme Ausmaß des heutigen Diebstahls von Zugangsdaten. Dieser 400 GB große Datensatz, der mithilfe von „Synthient Stealer“ und anderen Varianten gesammelt wurde, überschwemmte die Schwarzmärkte und trieb die Preise für Zugangsdaten auf ein historisches Tief von 10 US-Dollar pro Konto. Die Reaktion von Google – massenhafte Passwort-Zurücksetzungen und verstärkte Überwachung – machte deutlich, wie reaktiv die derzeitigen Abwehrmaßnahmen gegen proaktive Angreifer sind.

Zerschlagung der Operation Endgame – November 2025

Die Zerschlagung der Operation Endgame im November 2025 deckte die Infrastruktur auf, die Infostealer-Operationen stützte. Die Beschlagnahmung von über 1.025 Servern und 20 Domains unterbrach den Zugriff auf über 100.000 kompromittierte Kryptowährungs-Wallets. Doch innerhalb weniger Tage entstand eine neue Infrastruktur, was die Widerstandsfähigkeit des Infostealer-Ökosystems demonstrierte. Das Katz-und-Maus-Spiel der Strafverfolgungsbehörden mit den Betreibern geht weiter, wobei jede Zerschlagung nur vorübergehende Erleichterung bringt, bevor sich Varianten anpassen und wieder auftauchen.

Sicherheitsvorfall in der Lieferkette von Axios – April 2026

Durch den Angriff auf die Lieferkette von Axios breitete sich die Bedrohung durch den Infostealer auf eine der am häufigsten verwendeten JavaScript-Bibliotheken in Entwicklungsumgebungen von Unternehmen aus. Die Angreifer nutzten gestohlene Entwicklerzugangsdaten – ganz im Stil typischer Infostealer-Methoden –, um bösartigen Code in eine vertrauenswürdige Abhängigkeit einzuschleusen und so nachgelagerte Organisationen zu gefährden, bevor der Angriff entdeckt wurde. Der Vorfall bestätigte ein von Snowflake bereits festgestelltes Muster: Der Diebstahl von Zugangsdaten aus einem einzigen Entwicklerkonto kann über vertrauenswürdige Software-Lieferketten zu Hunderten von Sicherheitsverletzungen in Unternehmen führen.

Erfahren Sie, wie der Hackerangriff auf Axios Sicherheitslücken in der Lieferkette aufgedeckt hat →

Dieransomware

Bei mehr als der Hälfte ransomware wurden zuvor Spuren von Infostealern festgestellt, was den Diebstahl von Zugangsdaten nicht zu einer parallelen Bedrohung zur ransomware macht, sondern zu deren zuverlässigstem Vorläufer. Gestohlene Zugangsdaten werden an spezialisierte Gruppen zum Zwecke der Ausnutzung verkauft, wobei Infostealer stets die erste Stufe in dieser Kette bilden. Die ransomware veranschaulichte diesen Ablauf, indem sie JIRA-Anmeldedaten aus Stealer-Protokollen nutzte, um sich einen ersten Zugriff zu verschaffen. Einmal im System, erweiterten die Angreifer ihre Berechtigungen, bewegten sich lateral und setzten ransomware ein, was Schäden in Millionenhöhe verursachte.

Recorded Future hat bei den im Jahr 2025 erfassten Vorfällen Infostealer als den wichtigsten Vektor für die Erstinfektion identifiziert – zum ersten Mal hat eine einzelne malware diese Position über ein gesamtes Kalenderjahr hinweg innegehabt.

Dieransomware : von der Infektion mit einem Infostealer bis ransomware in 4–7 Tagen

Die Zeitspanne vom Diebstahl der Anmeldedaten bis ransomware beträgt durchschnittlich 4 bis 7 Tage, wobei hochentwickelte Gruppen auch schneller vorgehen können. Dieses Zeitfenster stellt den kritischen Zeitraum für die Erkennung und Reaktion dar. Unternehmen, die den Diebstahl von Anmeldedaten innerhalb weniger Stunden erkennen und darauf reagieren, können eine Eskalation verhindern, während diejenigen, die Tage dafür benötigen, unvermeidlich kompromittiert werden. Die durchschnittliche Erkennungszeit von 4 Tagen bedeutet, dass die meisten Unternehmen Infektionen erst entdecken, nachdem die Angreifer die gestohlenen Daten bereits zu Geld gemacht haben.

Infostealer erkennen und verhindern

Eine wirksame Abwehr von Infostealern erfordert mehrschichtige Strategien, die technische Kontrollen, Prozessverbesserungen und Benutzerschulungen kombinieren. Die Umgehungsrate von 66 % bei endpoint zeigt, warum Unternehmen sich nicht auf einzelne Sicherheitsebenen verlassen können.

Erkennungsstrategien müssen der heimlichen Natur und den polymorphen Fähigkeiten von Infostealern Rechnung tragen. Moderne Varianten verwenden ausgefeilte Umgehungstechniken, darunter Process Hollowing, Living-off-the-Land-Taktiken und verschlüsselte Kommunikation. Verhaltensanalysen bieten eine zuverlässigere Erkennung als signaturbasierte Ansätze, da sie sich auf anomale Aktivitätsmuster statt auf bestimmte malware konzentrieren. Mit Hilfe von Speicherforensik lassen sich Infostealer aufspüren, die vollständig im RAM operieren, während Lösungen für die Netzwerkerkennung und -reaktion (NDR) verdächtige Datenabflussmuster identifizieren.

Zur Prävention müssen sowohl technische Schwachstellen als auch menschliche Faktoren berücksichtigt werden. Technologische Kontrollen bieten zwar einen wesentlichen Schutz, doch das Verhalten der Benutzer bleibt der wichtigste Infektionsvektor. Unternehmen müssen ein Gleichgewicht zwischen Sicherheitsanforderungen und Benutzerfreundlichkeit finden und sicherstellen, dass Schutzmaßnahmen die Produktivität nicht beeinträchtigen. Die rasante Entwicklung der Techniken zum Diebstahl von Informationen bedeutet, dass die Abwehrmaßnahmen von gestern gegen die Bedrohungen von heute versagen können und eine kontinuierliche Anpassung und Verbesserung erforderlich ist.

Zu den wirksamen Erkennungsmethoden gehören:

Verhaltensanalyse zur Überwachung von Zugriffsmustern auf Anmeldedaten
Speicherforensik zur Identifizierung von bösartiger Code-Injektion
Netzwerkverkehrsanalyse zur Erkennung von C2-Kommunikation
Überwachung der Dateiintegrität zur Erkennung unbefugter Änderungen
Browser-Erweiterungsprüfung zur Identifizierung bösartiger Ergänzungen
API-Aufrufüberwachung zur Verfolgung verdächtiger Systeminteraktionen
Registry-Analyse zur Ermittlung von Persistenzmechanismen
ÜberwachungCloud zur Erkennung anomaler Authentifizierungen
SIEM-Korrelation Aggregation von Sicherheitsereignissen über Systeme hinweg

Warum herkömmliche EDR nicht ausreicht

Lösungen Endpoint und -Reaktion (EDR) stehen bei der Erkennung moderner Infostealer vor erheblichen Herausforderungen. Die Umgehungsrate von 66 % spiegelt ausgefeilte Umgehungstechniken wider, die speziell darauf ausgelegt sind, endpoint zu überwinden. Am stärksten ist die Gefährdung auf Geräteebene: 30 % der kompromittierten Systeme waren verwaltete Unternehmensgeräte, während 46 % nicht verwaltete BYOD-Geräte waren, was bedeutet, dass fast die Hälfte aller Infektionen vollständig außerhalb der Reichweite von endpoint von Unternehmen beginnt (INTERPOL, 2025).

Infostealer nutzen legitime Windows-APIs zur Extraktion von Anmeldedaten, wodurch ihr Verhalten für EDR-Lösungen normal erscheint. Sie sind nur kurz aktiv, extrahieren Daten und beenden ihren Vorgang, bevor Erkennungsalgorithmen verdächtige Aktivitäten melden.

Moderne Varianten verwenden mehrere Anti-EDR-Techniken, darunter direkte Systemaufrufe, die API-Hooks umgehen, Prozessinjektionen in vertrauenswürdige Anwendungen und Operationen auf Kernel-Ebene, die eine Überwachung im Benutzermodus vermeiden. Sie erkennen Virtualisierungs- und Sandbox-Umgebungen und bleiben während der Analyse inaktiv. Einige Varianten zielen speziell auf EDR-Prozesse ab und versuchen, Sicherheitstools zu deaktivieren oder zu beschädigen, bevor sie mit der Extraktion von Anmeldedaten beginnen.

Die Lösung besteht nicht darin, EDR aufzugeben, sondern es durch ergänzende Technologien zu erweitern. ITDR-Lösungen (Identity Threat Detection and Response) konzentrieren sich eher auf identitätsbasierte Anomalien als auf endpoint . Die Netzwerkerkennung identifiziert Datenexfiltration unabhängig von endpoint . Täuschungstechnologien erstellen Honey-Credentials, die bei Zugriff Alarm auslösen. Dieser tiefgreifende Verteidigungsansatz behebt die Einschränkungen von EDR und gewährleistet gleichzeitig endpoint .

Verfahren zur Reaktion nach einer Infektion

Geschwindigkeit ist entscheidend für eine erfolgreiche Reaktion auf Infostealer-Infektionen. Die 4-Stunden-Service-Level-Vereinbarung (SLA) für die Zurücksetzung von Anmeldedaten entspricht bewährten Verfahren, erfordert jedoch Vorbereitung und Automatisierung. Jede Stunde Verzögerung erhöht die Wahrscheinlichkeit einer Monetarisierung der Anmeldedaten und von Folgeangriffen.

Sofortmaßnahmen müssen sich auf die Eindämmung und Ungültigkeitserklärung von Anmeldedaten konzentrieren. Dazu gehören die Isolierung infizierter Systeme vom Netzwerkzugang, das Zurücksetzen aller potenziell kompromittierten Passwörter, das Widerrufen aktiver Sitzungen und Authentifizierungstoken sowie die Überprüfung der Zugriffsprotokolle auf verdächtige Authentifizierungen. Unternehmen sollten betroffene Benutzer und Partner benachrichtigen und gleichzeitig forensische Beweise für die Untersuchung sichern. Die vorübergehende Implementierung zusätzlicher Authentifizierungsfaktoren und die Überwachung auf Versuche der Wiederverwendung von Anmeldedaten tragen dazu bei, weitere Kompromittierungen zu verhindern.

Die Wiederherstellung geht über technische Abhilfemaßnahmen hinaus und umfasst auch Prozessverbesserungen und Benutzerschulungen. Unternehmen müssen Infektionsvektoren analysieren, um eine Wiederholung zu verhindern, Sicherheitskontrollen auf der Grundlage der gewonnenen Erkenntnisse aktualisieren und die Überwachung auf ähnliche Angriffsmuster verstärken. Benutzerschulungen sollten sich mit spezifischen Social-Engineering-Taktiken befassen, während Sicherheitsteams ihre Verfahren zur Reaktion auf Vorfälle auf der Grundlage ihrer Erfahrungen überarbeiten sollten. Die Überwachung des Dark Webs auf durchgesickerte Anmeldedaten und regelmäßige Sicherheitsbewertungen helfen dabei, bestehende Risiken zu identifizieren.

Infostealer und Compliance

Regulatorische Rahmenbedingungen erkennen den Diebstahl von Zugangsdaten zunehmend als kritisches Compliance-Problem an. Unternehmen stehen unter zunehmendem Druck, umfassende Kontrollen zum Schutz von Authentifizierungssystemen und Benutzeridentitäten zu implementieren.

Das MITRE ATT&CK ordnet Infostealer-Verhaltensweisen mehreren Techniken zu, darunter T1003 (OS Credential Dumping), T1555 (Credentials from Password Stores), T1539 (Steal Web Session Cookie), T1056 (Input Capture) und T1005 (Data from Local System). Diese Zuordnung ermöglicht es Unternehmen, ihre Verteidigungsstrategien an anerkannten Bedrohungsmustern auszurichten. Compliance-Frameworks beziehen sich bei der Definition von Sicherheitsanforderungen auf diese Techniken.

Das NIST Cybersecurity Framework 2.0 befasst sich mit Infostealer-Bedrohungen durch mehrere Kontrollfamilien. PR.AC (Identitätsmanagement und Zugriffskontrolle) erfordert eine starke Authentifizierung und den Schutz von Anmeldedaten. DE.CM (Kontinuierliche Sicherheitsüberwachung) schreibt Erkennungsfunktionen für den Diebstahl von Anmeldedaten vor. RS.AN (Analyse) erfordert Untersuchungsverfahren für mutmaßliche Kompromittierungen. Diese Kontrollen bilden die Grundlage für die Einhaltung gesetzlicher Vorschriften in allen Branchen.

Rahmenwerk	Kontrolle	Kartierung	Erforderliche Nachweise
MITRE ATT&CK	T1003	OS-Anmeldedaten-Dumping	Erkennungsregeln, Reaktionsverfahren
MITRE ATT&CK	T1555	Zugriff auf Passwortspeicher	Browsersicherheit, Überwachung von Anmeldedaten
NIST CSF 2.0	PR.AC-1	Identitätsmanagement	MFA-Bereitstellung, Einführung von Passkeys
NIST CSF 2.0	DE.CM-7	Erkennung von bösartigem Code	EDR/ITDR-Implementierung
EU NIS2	Artikel 21	Vorfallbearbeitung	24-Stunden-Benachrichtigung, 72-Stunden-Bericht
PCI DSS 4.0	Anforderung 8	Benutzerauthentifizierung	Starke Passwörter, MFA-Anforderungen
ISO 27001	A.9.4.2	Passwortverwaltung	Sichere Speicherung, Komplexitätsanforderungen

Die EU-NIS2-Richtlinie, die im Oktober 2024 in Kraft tritt, befasst sich speziell mit Verstößen gegen die Sicherheitsvorschriften für Zugangsdaten. Unternehmen müssen schwerwiegende Vorfälle innerhalb von 24 Stunden melden und innerhalb von 72 Stunden detaillierte Berichte vorlegen. Der Diebstahl von Zugangsdaten, der kritische Dienste betrifft, löst eine Meldepflicht gegenüber den nationalen Behörden aus. Die Strafen für Verstöße können bis zu 2 % des weltweiten Jahresumsatzes betragen, was die finanziellen Risiken unzureichender Kontrollen deutlich macht.

Moderne Ansätze zur Abwehr von Infostealern

Die Sicherheitsbranche hat sich über traditionelle Perimeter-Abwehrmaßnahmen hinaus weiterentwickelt und erkannt, dass der Diebstahl von Zugangsdaten identitätsorientierte Strategien erfordert. Moderne Ansätze gehen von Sicherheitsverletzungen aus und konzentrieren sich darauf, die Auswirkungen durch architektonische Veränderungen und neue Technologien zu begrenzen.

Zero Trust verändert grundlegend, wie Unternehmen mit der Sicherheit von Anmeldedaten umgehen. Anstatt authentifizierten Benutzern implizit zu vertrauen, überprüft Zero Trust Identität und Berechtigungen. Dieser Ansatz begrenzt den Wert gestohlener Anmeldedaten, indem für sensible Aktionen eine zusätzliche Überprüfung erforderlich ist. Die Mikrosegmentierung begrenzt Sicherheitsverletzungen und verhindert seitliche Bewegungen selbst mit gültigen Anmeldedaten. Das Prinzip der geringsten Privilegien stellt sicher, dass kompromittierte Konten nur auf die notwendigen Ressourcen zugreifen können.

Die automatisierte Überwachung des Dark Webs ist für eine proaktive Verteidigung unverzichtbar geworden. Dienste scannen kontinuierlich Untergrundmärkte nach Zugangsdaten von Unternehmen und warnen frühzeitig vor Kompromittierungen. Durch die Integration in Identitätsmanagementsysteme ist eine automatische Reaktion möglich, sobald Zugangsdaten online auftauchen. Algorithmen für maschinelles Lernen identifizieren Muster, die auf gezielte Angriffe hindeuten, während Threat-Intelligence-Feeds Kontextinformationen zu neuen Kampagnen liefern. Diese proaktive Haltung ermöglicht Unternehmen den Übergang von einer reaktiven zu einer prädiktiven Sicherheitsstrategie.

Device Bound Session Credentials (DBSC) stellen die nächste Entwicklungsstufe im Bereich der Authentifizierungssicherheit dar. Diese neue Technologie bindet Sitzungstoken kryptografisch an bestimmte Geräte und verhindert so Replay-Angriffe, selbst wenn Cookies gestohlen werden. Erste Implementierungen zeigen vielversprechende Ergebnisse, allerdings hängt die breite Einführung noch von der Unterstützung durch Browser und Anwendungen ab. FIDO2-Passkeys, die mittlerweile von 93 % der Benutzerkonten unterstützt werden, bieten sofortigen Schutz durch eine phishing Authentifizierung, die von Infostealern nicht kompromittiert werden kann.

Wie Vectra AI über die Erkennung von Infostealern Vectra AI

Vectra AI die Erkennung von Infostealern aus einer identitätsorientierten Perspektive Vectra AI und kombiniert Netzwerk- und Identitätssignale, um Versuche des Diebstahls von Anmeldedaten zu erkennen, bevor es zum Datendiebstahl kommt. Anstatt sich auf malware zu verlassen, die schnell veralten, konzentriert sich Attack Signal Intelligence™ auf die konsistenten Verhaltensmuster, die alle Infostealer aufweisen müssen: Zugriff auf Anmeldedaten-Speicher, Aufbau von Befehlskanälen und Datenexfiltration. Durch die Korrelation von Identitätsanomalien mit Netzwerkmustern erhalten Sicherheitsteams Einblick in Angriffe, die herkömmliche endpoint umgehen.

Verhaltenserkennung in Bezug auf die Handlungen des Angreifers

Die verhaltensbasierten KI-Modelle Vectra AI erkennen Aktivitäten nach einer Infektion, die auf den Diebstahl von Anmeldedaten folgen, sowie anomale Authentifizierungsmuster, laterale Bewegungen unter Verwendung gestohlener Anmeldedaten, die Ausweitung von Berechtigungen und ungewöhnliche Zugriffe auf sensible Ressourcen – ohne dass Vorkenntnisse über die jeweilige Infostealer-Familie erforderlich sind. Die Erkennungen lassen sich direkt den MITRE ATT&CK Techniken für den Zugriff MITRE ATT&CK (TA0006) und deren Erfassung (TA0009) zuordnen und liefern SOC-Teams damit ein auf das Framework abgestimmtes Signal, auf das sie sofort reagieren können.

Überwachung von Identitäts- und Sitzungstoken

Wird ein gestohlenes Sitzungstoken von der Infrastruktur des Angreifers aus verwendet, wird kein neues Anmeldeereignis ausgelöst und es erfolgt keine MFA-Abfrage. Vectra AI , wie sich Identitäten authentifizieren und sich durch verschiedene Umgebungen bewegen, und markiert Verhaltensabweichungen von festgelegten Referenzwerten, selbst wenn die verwendeten Anmeldedaten technisch gültig sind. Dies ist eine Erkennungsebene, die protokollbasierte Systeme und endpoint in großem Maßstab nicht zuverlässig bereitstellen können.

Transparenz auf Netzwerkebene über den endpoint hinaus

Da 66 % der Infostealer-Infektionen endpoint umgehen und viele davon auf nicht verwalteten oder privaten Geräten ihren Ursprung haben, deckt die Netzwerk-Observability Vectra AI alle Geräte ab, die im Netzwerk kommunizieren – unabhängig davon, ob sie verwaltet werden oder nicht. Verdächtige Muster bei der Datenexfiltration, Merkmale der C2-Kommunikation und anomale ausgehende Datenübertragungen lassen sich auf Netzwerkebene beobachten, unabhängig davon, ob auf dem infizierten Gerät ein verwalteter Agent läuft.

Zusammenhängende Angriffsszenarien über Jetstream

Die Echtzeit-Streaming-Engine „Jetstream“ Vectra AI verknüpft frühe Anzeichen für den Missbrauch von Anmeldedaten mit nachfolgenden seitlichen Bewegungen und der Ausweitung von Zugriffsrechten zu einem einzigen, zusammenhängenden Angriffsszenario. Sicherheitsteams erhalten so einen vollständigen Überblick über die Aktivitäten nach der Infektion und sind nicht mehr auf isolierte Warnmeldungen angewiesen, die manuell abgeglichen werden müssen. Dies ermöglicht eine schnellere und sicherere Reaktion, bevor Angreifer vom Diebstahl von Anmeldedaten zum ransomware übergehen.

Erfahren Sie, wie Vectra AI die Signale Vectra AI , die Infostealer nach einer Infektion hinterlassen – also Netzwerk- und Identitätsverhaltensweisen, für deren Erkennung endpoint und protokollbasierte Tools nicht ausgelegt sind.

Künftige Trends und neue Überlegungen

Die Cybersicherheitslandschaft entwickelt sich weiterhin rasant, wobei Infostealer an vorderster Front der neuen Herausforderungen stehen. In den nächsten 12 bis 24 Monaten sollten sich Unternehmen auf mehrere wichtige Entwicklungen vorbereiten, die die Art und Weise, wie wir uns gegen den Diebstahl von Anmeldedaten schützen, grundlegend verändern werden.

Künstliche Intelligenz verändert sowohl die Angriffs- als auch die Verteidigungsfähigkeiten. Angreifer nutzen KI, um überzeugende phishing zu erstellen, automatisch hochwertige Ziele in gestohlenen Datensätzen zu identifizieren und polymorphe malware zu entwickeln, malware sich an Verteidigungsmaßnahmen anpasst. Verteidiger kontern mit KI-gestützter Verhaltensanalyse, automatisierter threat huntingund Vorhersagemodellen, die wahrscheinliche Ziele identifizieren. Dieser KI-Wettlauf wird sich bis 2026 beschleunigen, wobei sich die Vorteile zwischen Angreifern und Verteidigern mit zunehmender Reife der Technologien verschieben werden.

Quantencomputer stellen eine langfristige Bedrohung für aktuelle Verschlüsselungsmethoden zum Schutz gespeicherter Anmeldedaten dar. Auch wenn es noch Jahre dauern wird, bis Quantencomputer praxistauglich sind, müssen Unternehmen sich auf Angriffe vorbereiten, bei denen Angreifer verschlüsselte Daten stehlen, um sie später zu entschlüsseln. Die vom NIST im Jahr 2024 fertiggestellten Post-Quanten-Kryptografie-Standards müssen in allen Authentifizierungssystemen implementiert werden. Unternehmen sollten ihre kryptografischen Abhängigkeiten inventarisieren und Migrationspläne für quantenresistente Algorithmen entwickeln.

Der regulatorische Druck wird sich nach den viel beachteten Verstößen aufgrund von Diebstahl von Zugangsdaten weiter verstärken. Die NIS2-Richtlinie der EU schafft Präzedenzfälle, denen andere Regionen wahrscheinlich folgen werden, mit obligatorischen Meldepflichten bei Verstößen und erheblichen Strafen für unzureichende Kontrollen. Der Entwurf für ein US-Bundesgesetz zum Datenschutz enthält Bestimmungen, die sich speziell mit dem Schutz von Zugangsdaten und der Identitätsprüfung befassen. International tätige Unternehmen sehen sich mit einem komplexen Flickenteppich von Anforderungen konfrontiert, die umfassende Identitätssicherheitsprogramme erforderlich machen.

Die Investitionsprioritäten für die nächsten 24 Monate sollten sich auf drei wichtige Bereiche konzentrieren. Erstens müssen Unternehmen die Einführung von Passkeys beschleunigen und bis zum zweiten Quartal 2026 eine 100-prozentige Abdeckung für privilegierte Konten anstreben. Zweitens sollte die Bereitstellung von ITDR über Pilotprogramme hinaus auf die Produktionsimplementierung ausgeweitet werden, die alle Identitätsspeicher umfasst. Drittens müssen Zero Trust von konzeptionellen Rahmenwerken zu operativen Architekturen mit kontinuierlicher Verifizierung und Mikrosegmentierung übergehen.

Die Konvergenz von IT- und OT-Umgebungen schafft neue Angriffsflächen für Infostealer. Industrielle Steuerungssysteme werden zunehmend mit Unternehmensnetzwerken verbunden, wodurch die Betriebstechnologie dem Risiko des Diebstahls von Anmeldedaten ausgesetzt ist. Die kompromittierten Anmeldedaten eines Ingenieurs könnten den Zugriff auf kritische Infrastrukturen ermöglichen und so Insider-Bedrohungsszenarien schaffen, die über den Datendiebstahl hinaus auch physische Schäden verursachen können. Unternehmen müssen ihre Identitätssicherheitsprogramme auf OT-Umgebungen ausweiten und spezielle Kontrollen für industrielle Systeme implementieren.

Schlussfolgerung

Die Epidemie der Infostealer hat die Bedrohungslandschaft still und leise neu gezeichnet – nicht durch lautere, sondern durch kostengünstigere Angriffe. Angesichts von 1,8 Milliarden gestohlenen Zugangsdaten allein im Jahr 2025 und einer Quote von 86 % bei Datenlecks, bei denen Zugangsdaten gestohlen wurden, können Unternehmen die Identitätssicherheit nicht länger als zweitrangig gegenüber dem Netzwerkschutz betrachten. Das Aufkommen ausgefeilter Varianten wie Lumma, Acreed und StealC V2, die für nur 200 US-Dollar im Monat erhältlich sind, hat fortschrittliche Angriffsmöglichkeiten demokratisiert, während die EDR-Umgehungsrate von 66 % kritische Lücken in den aktuellen Abwehrmaßnahmen offenlegt.

Um Infostealer erfolgreich zu bekämpfen, müssen identitätsorientierte Sicherheitsstrategien verfolgt werden, die eher von einer Kompromittierung als von einer lückenlosen Prävention ausgehen. Unternehmen müssen die Einführung von FIDO2-Passkeys beschleunigen, die mittlerweile von 93 % der Konten unterstützt werden, und gleichzeitig ITDR-Lösungen implementieren, die Versuche des Diebstahls von Anmeldedaten unabhängig von malware erkennen.

Erfahren Sie, wie die VerhaltenserkennungVectra AI über Netzwerk-, Identitäts- und cloud hinweg die Signale aufdeckt, die Infostealer nach einer Infektion hinterlassen – Signale, für deren Erkennung endpoint und protokollbasierte Tools nicht ausgelegt sind.

Häufig gestellte Fragen

Was ist der Unterschied zwischen Infostealern und anderer malware?

Infostealer unterscheiden sich in ihren operativen Zielen und Methoden grundlegend von anderen malware . Während ransomware ihre Präsenz durch Dateiverschlüsselung und Lösegeldforderungen ransomware , arbeiten Infostealer unbemerkt im Hintergrund und vermeiden so ihre Entdeckung, während sie wertvolle Daten extrahieren. Im Gegensatz zu Remote Access Trojanern (RATs), die einen dauerhaften Backdoor-Zugang für die manuelle Steuerung aufrechterhalten, automatisieren Infostealer den Extraktionsprozess und löschen sich in der Regel nach Abschluss ihrer Mission selbst.

Die nicht persistente Natur von Infostealern macht es besonders schwierig, sie zu erkennen und zu beseitigen. Sie benötigen keine fortlaufende Befehls- und Kontrollkommunikation wie Botnets, sondern führen schnelle Smash-and-Grab-Operationen durch. Ihr fokussiertes Ziel – der Diebstahl von Anmeldedaten und Daten – bedeutet, dass sie Systemänderungen vermeiden, die Sicherheitswarnungen auslösen könnten. Dieser chirurgische Ansatz in Kombination mit ausgeklügelten Ausweichtechniken erklärt, warum 66 % traditionelle endpoint erfolgreich umgehen. Auch das Geschäftsmodell unterscheidet sich, da Infostealer eher als Dienstleistungen denn als Tools verkauft werden, was die Einstiegshürden für Cyberkriminelle senkt.

Kann Antivirensoftware Infostealer erkennen?

Herkömmliche Antivirensoftware stößt bei der Erkennung moderner Infostealer an erhebliche Grenzen. Studien zeigen, dass 66 % der Infostealer endpoint and Response (EDR)-Lösungen erfolgreich umgehen. Diese hohe Umgehungsrate ist auf mehrere Faktoren zurückzuführen, darunter polymorpher Code, der sich mit jeder Infektion ändert, die Verwendung legitimer APIs, die harmlos erscheinen, und ausgefeilte Anti-Analyse-Techniken, die Sicherheitstools erkennen. Infostealer arbeiten oft vollständig im Speicher und hinterlassen nur minimale forensische Spuren für die signaturbasierte Erkennung.

Die Lösung besteht nicht darin, Antivirenprogramme aufzugeben, sondern sie durch Verhaltenserkennung und identitätsorientierte Sicherheit zu ergänzen. ITDR-Lösungen überwachen anomale Zugriffsmuster auf Anmeldedaten, unabhängig von der zugrunde liegenden malware. Die Netzwerkerkennung identifiziert verdächtige Datenexfiltrationen, selbst wenn endpoint versagt. Unternehmen sollten aktualisierte Antivirenprogramme als grundlegende Verteidigungsmaßnahme beibehalten und gleichzeitig zusätzliche Ebenen wie Anwendungskontrolle, Browserisolierung und kontinuierliche Authentifizierungsüberwachung implementieren. Regelmäßige Tests der Erkennungsfähigkeiten unter Verwendung kontrollierter Infostealer-Proben helfen dabei, Lücken zu identifizieren, bevor sie von echten Angriffen ausgenutzt werden.

Was passiert mit gestohlenen Zugangsdaten?

Gestohlene Zugangsdaten gelangen in eine ausgeklügelte Untergrundwirtschaft mit etablierten Märkten, Preismodellen und Vertriebskanälen. Zunächst sortieren die Betreiber von Infostealern die erfassten Daten nach ihrem Wert – Unternehmenskonten, Bankzugangsdaten und Kryptowährungs-Wallets erzielen Spitzenpreise. Die Zugangsdaten werden in großen Mengen einer automatisierten Validierung unterzogen, um aktive Konten zu bestätigen, wobei ungültige Einträge herausgefiltert werden. Initial Access Brokers (IABs) kaufen hochwertige Unternehmenszugangsdaten und verpacken sie neu, um sie an ransomware und Akteure mit fortgeschrittenen persistenten Bedrohungen (APT) zu verkaufen.

Der Untergrundmarkt funktioniert wie ein legitimer E-Commerce mit Reputationssystemen, Kundensupport und Geld-zurück-Garantien. Die Preise variieren stark je nach Zielwert – die Zugangsdaten eines Fortune-500-Managers können für 50.000 US-Dollar verkauft werden, während Verbraucherkonten für 10 bis 50 US-Dollar gehandelt werden. Cyberkriminelle nutzen gestohlene Zugangsdaten, um sich durch unbefugte Käufe und Überweisungen, Business E-Mail Compromise (BEC)-Angriffe auf Partner und Kunden sowie den Diebstahl von Kryptowährungen aus digitalen Geldbörsen sofortige finanzielle Vorteile zu verschaffen. Staatliche Akteure erwerben Zugangsdaten für Cyberspionage und Informationsbeschaffung, während konkurrierende Unternehmen Unternehmensspionage betreiben. Aufgrund der Geschwindigkeit der Monetarisierung haben Unternehmen nur wenige Stunden und nicht Tage Zeit, um auf den Diebstahl von Zugangsdaten zu reagieren.

Wie schnell sollten wir auf eine Infostealer-Infektion reagieren?

Die branchenübliche Best Practice sieht eine Service Level Agreement (SLA) von 4 Stunden für die Zurücksetzung von Anmeldedaten nach bestätigten Infostealer-Infektionen vor, obwohl die derzeitige durchschnittliche Erkennungszeit bei 4 Tagen liegt. Diese Lücke zwischen idealer und tatsächlicher Reaktionszeit stellt für Angreifer eine Gelegenheit dar, gestohlene Anmeldedaten zu Geld zu machen. Jede Stunde Verzögerung erhöht das Risiko von Folgeangriffen, lateraler Bewegung und Datenexfiltration. Unternehmen, die Infektionen innerhalb der ersten 24 Stunden erkennen, verhindern 92 % der Folgeangriffe, während diejenigen, die länger brauchen, mit ziemlicher Sicherheit kompromittiert werden.

Eine sofortige Reaktion erfordert vorbereitete Verfahren und Automatisierung. Innerhalb der ersten Stunde müssen infizierte Systeme isoliert und forensische Sicherungsmaßnahmen eingeleitet werden. In den Stunden 2 bis 3 liegt der Schwerpunkt auf der Zurücksetzung der Anmeldedaten der betroffenen Benutzer, der Aufhebung aktiver Sitzungen und der Benachrichtigung der Sicherheitsteams. Bis zur vierten Stunde muss eine verstärkte Überwachung der betroffenen Konten implementiert und threat hunting weiteren Infektionen begonnen werden. Zu den Aktivitäten nach dem Vorfall gehören die umfassende Zurücksetzung aller potenziell gefährdeten Konten, die Einführung zusätzlicher Authentifizierungsfaktoren, die Überwachung des Dark Webs auf durchgesickerte Anmeldedaten und die Aufklärung der Benutzer über den spezifischen Angriffsvektor. Unternehmen sollten vierteljährliche Übungen zur Überprüfung der Reaktionsverfahren durchführen, um sicherzustellen, dass die Teams die 4-Stunden-SLA einhalten können, wenn es zu tatsächlichen Infektionen kommt.

Schützen Passkeys vor Infostealern?

Ja, Passkeys bieten durch ihr kryptografisches Design, das den Diebstahl von Anmeldedaten unmöglich macht, einen außergewöhnlichen Schutz vor Infostealern. Im Gegensatz zu Passwörtern, die in Browsern oder Passwort-Managern gespeichert sind, verwenden Passkeys eine Public-Private-Key-Verschlüsselung, bei der der private Schlüssel niemals das Gerät verlässt. Selbst wenn Infostealer Browser-Daten extrahieren, können sie nicht auf die in Hardware-Sicherheitsmodulen gespeicherten kryptografischen Schlüssel zugreifen. Da mittlerweile 93 % der Benutzerkonten FIDO2-Passkeys unterstützen, stellt diese Technologie die derzeit effektivste Verteidigung gegen den Diebstahl von Anmeldedaten dar.

Die phishing von Passkeys schützt sowohl vor technischen als auch vor Social-Engineering-Angriffen. Benutzer können Passkeys nicht versehentlich an gefälschte Websites weitergeben, da das kryptografische Protokoll die anfragende Domain validiert. Dadurch wird der primäre Infektionsvektor für Infostealer beseitigt – die Eingabe von Anmeldedaten auf bösartigen Websites durch Benutzer. Es bestehen weiterhin Herausforderungen bei der Implementierung, darunter die Unterstützung älterer Anwendungen, Anforderungen an die Benutzerschulung und Verfahren zur Kontowiederherstellung. Unternehmen sollten die Einführung von Passkeys für privilegierte Konten und hochwertige Ziele priorisieren und die Abdeckung schrittweise ausweiten, sobald die Benutzer mit der Technologie vertraut sind. In Kombination mit Zero Trust und ITDR-Überwachung schaffen Passkeys eine tiefgreifende Verteidigung, die das Risiko des Diebstahls von Anmeldedaten erheblich verringert.

Wie umgehen Infostealer die Multi-Faktor-Authentifizierung?

Infostealer umgehen MFA durch den Diebstahl von Sitzungscookies und erfassen authentifizierte Sitzungen, nachdem Benutzer Multi-Faktor-Herausforderungen abgeschlossen haben. Wenn sich Benutzer authentifizieren, erstellen Websites Sitzungscookies, die den angemeldeten Status aufrechterhalten. Infostealer extrahieren diese Cookies aus dem Browserspeicher, sodass Angreifer authentifizierte Sitzungen wiederholen können, ohne Passwörter zu kennen oder MFA-Geräte zu besitzen. Diese als „Session Hijacking“ bezeichnete Technik umgeht selbst die stärksten MFA-Implementierungen, einschließlich Hardware-Token und biometrischer Authentifizierung.

Fortgeschrittene Varianten verwenden phishing , die MFA-Codes erfassen, sobald Benutzer diese eingeben. Die Infrastruktur des Angreifers befindet sich zwischen den Opfern und legitimen Websites und leitet Authentifizierungsanfragen weiter, während sie die Antworten erfasst. Einige Infostealer zielen speziell auf MFA-Sicherungscodes ab, die in Passwort-Managern oder Browser-Notizen gespeichert sind. Andere extrahieren Authentifizierungs-App-Seeds, wodurch Angreifer gültige TOTP-Codes generieren können. Zur Abwehr müssen FIDO2-Passkeys implementiert werden, die gegen Replay-Angriffe resistent sind, gerätegebundene Sitzungsanmeldedaten (DBSC) eingesetzt werden, auf unmögliche Reisen und anomale Zugriffsmuster überwacht werden und für sensible Aktionen eine erneute Authentifizierung erforderlich ist. Unternehmen sollten außerdem kurze Sitzungszeitlimits und eine kontinuierliche Authentifizierung implementieren, die die Identität des Benutzers während der gesamten Sitzung und nicht nur bei der Anmeldung überprüft.

Was macht neuere Varianten wie Acreed und StealC V2 gefährlicher?

Neue Varianten wie Acreed und StealC V2 stellen einen evolutionären Sprung in den Fähigkeiten von Infostealern dar, da sie die Erfahrungen aus Strafverfolgungsmaßnahmen und Sicherheitsverbesserungen berücksichtigen. Diese neuen Plattformen verfügen über modulare Architekturen, die maßgeschneiderte Angriffe ermöglichen, wobei die Betreiber je nach Ziel bestimmte Module auswählen können. Fortschrittliche Umgehungstechniken, die speziell darauf ausgelegt sind, moderne EDR-Lösungen zu umgehen, tragen zu einer Erkennungsfehlerquote von 66 % bei. JSON-basierte Protokolle und verschlüsselte Befehlskanäle widerstehen der Netzwerküberwachung, während Anti-Forensik-Funktionen wie Selbstlöschung und Protokollmanipulation die Ermittlungen erschweren.

Die Demokratisierung fortschrittlicher Funktionen durch monatliche Abonnements für 200 US-Dollar bedeutet, dass für ausgeklügelte Angriffe kein technisches Fachwissen mehr erforderlich ist. Die Multi-Monitor-Screenshot-Funktion von StealC V2 erfasst Informationen, die über gespeicherte Anmeldedaten hinausgehen, darunter sensible Daten auf dem Bildschirm und Authentifizierungs-QR-Codes. Die Integration von maschinellem Lernen ermöglicht eine automatische Priorisierung der Ziele, wobei der Schwerpunkt zunächst auf hochwertigen Anmeldedaten liegt. Diese Varianten zeigen auch eine verbesserte Widerstandsfähigkeit gegen Abschaltungen durch verteilte Infrastruktur, Blockchain-basierte Befehlskanäle und schnelle Anpassung an Strafverfolgungsmaßnahmen. Die Geschwindigkeit der Innovation bedeutet, dass Verteidigungsstrategien kontinuierlich weiterentwickelt werden müssen, da sich Unternehmen nicht auf statische Abwehrmaßnahmen gegen sich schnell entwickelnde Bedrohungen verlassen können.

Was ist der beste Schutz vor Infostealern?

Keine einzelne Sicherheitsmaßnahme reicht aus. Der wirksamste Ansatz kombiniert FIDO2-Passkeys (die den Diebstahl von Anmeldedaten auf der Authentifizierungsebene verhindern), ITDR-Lösungen, die den Missbrauch von Anmeldedaten anhand des Verhaltens und nicht anhand von Signaturen erkennen, sowie Transparenz auf Netzwerkebene, die Aktivitäten nach einer Infektion auf Geräten erfasst, endpoint nicht erreicht werden.