Das hier ist ein vollständig KI generierter Artikel.

Infostealer-Malware hat sich in den letzten Jahren zu einem der wichtigsten Werkzeuge der Cyberkriminalität entwickelt. Anstatt Sicherheitslücken auszunutzen, setzen Angreifer zunehmend auf gestohlene Zugangsdaten, um sich wie legitime Nutzer in Systeme einzuloggen – schnell, leise und oft unbemerkt.

Vom Exploit zum Login: Warum Zugangsdaten so attraktiv sind

Gestohlene Zugangsdaten sind für Angreifer bequemer als klassische Exploits: Wer gültige Logins besitzt, umgeht viele Sicherheitskontrollen, fällt weniger auf und gelangt direkt zu sensiblen Daten und Systemen. Laut Zahlen des Sicherheitsanbieters Flashpoint wurden 2025 mehr als 11,1 Millionen Geräte mit Infostealern infiziert. Aus diesen Infektionen resultieren über 3,3 Milliarden im Untergrund kursierende Identitätsdaten – darunter Zugangsdaten, Browser-Artefakte und Sitzungsinformationen.

Diese Daten ermöglichen nicht nur den Erstzugang in ein Unternehmensnetz, sondern oft auch berechtigten Zugriff auf interne Ressourcen, Cloud-Dienste und Geschäftsanwendungen. Damit werden Infostealer zu einem zentralen Zulieferer für Ransomware-Gruppen und andere kriminelle Akteure.

Ein florierender Markt für Stealer-as-a-Service

Flashpoint identifizierte mehr als 30 unterschiedliche Infostealer-Familien. Die genaue Anzahl ist schwer zu bestimmen, da sich der Untergrundmarkt dynamisch verändert: Neue Varianten tauchen auf, bestehende werden geforkt oder durch Strafverfolgung gestört. Viele dieser Stealer werden im Malware-as-a-Service-Modell angeboten und sind bereits ab rund 60 US-Dollar pro Monat mietbar.

Die Rangliste der erfolgreichsten Stealer verschiebt sich laufend. 2025 führten Lumma, Acreed, Rhadamanthys, Vidar und StealC. Anfang 2026 dominierte dann Vidar mit über 70 Prozent aller beobachteten Infektionen, während der vormals führende Lumma nur noch einen Bruchteil ausmachte. Für Angreifer bedeutet das: Sie können flexibel auf das jeweils effektivste Werkzeug setzen, ohne selbst komplexe Malware entwickeln zu müssen.

Infektion: Social Engineering statt High-End-Exploit

Um einen Infostealer wirksam zu machen, muss er zunächst auf ein Zielgerät gelangen. In der Praxis reicht dafür meist irgendein Gerät im Zielnetzwerk, da dort gespeicherte Geheimnisse häufig Zugang zu weiteren Systemen eröffnen. Die Verbreitung erfolgt überwiegend über klassische Social-Engineering-Methoden: Phishing-E-Mails, manipulierte Downloads, gefälschte Software-Updates oder kompromittierte Webseiten.

Angesichts der grossen Zahl potenzieller Opfer ist der statistische Erfolg nahezu garantiert. Ein einziger unachtsamer Klick eines Mitarbeitenden kann ausreichen, um einem Angreifer weitreichenden Zugang zu ermöglichen.

So arbeiten Infostealer im Detail

Die technischen Details variieren je nach Familie, doch viele Stealer folgen einem ähnlichen Ablauf:

  • Analyse der Umgebung: Viele Stealer prüfen zunächst, ob sie in einer Sandbox oder Analyseumgebung laufen. Wird eine solche erkannt, beendet die Malware ihre Aktivität, um einer Erkennung durch Sicherheitslösungen zu entgehen.
  • Verschleierung des Codes: Strings und Funktionen werden verschlüsselt oder obfuskiert. Die Entschlüsselung erfolgt nur kurzzeitig im Speicher, was signaturbasierte Erkennung deutlich erschwert.
  • Datensammlung im Speicher: Die eigentliche Sammelphase läuft häufig ausschliesslich im RAM, um möglichst wenige Spuren auf dem Dateisystem zu hinterlassen.

Im Fokus stehen dabei vor allem monetarisierbare Informationen:

  • Zugangsdaten: Website-Logins, Unternehmenszugänge (VPN, RDP, VNC, Webmail), SaaS-Accounts, Cloud-Zugänge, E-Mail-Konten, Passwortmanager-Daten und Autofill-Informationen mit persönlichen Daten.
  • Sitzungsinformationen: Browser-Cookies, aktive Session-Tokens und Cloud- bzw. SaaS-Sitzungsartefakte, die einen Login ohne Passwort ermöglichen können.
  • Finanzdaten: Kreditkartendaten sowie Informationen zu Kryptowallets, inklusive Seeds und privaten Schlüsseln – sowohl aus Browsern als auch aus Desktop-Apps.
  • Systemmetadaten: Betriebssystemversion, Hardwaredetails, IP-Adresse und weitere Kontextinformationen.

Durch die Kombination von Identitätsdaten und Metadaten entsteht ein sehr detailliertes Bild über Opfer, deren Geräte und deren digitale Umgebung. Angreifer erhalten damit nicht nur Zugang, sondern auch Kontext, um Angriffe gezielt und unauffällig durchzuführen.

Von Stealer-Log zu Ransomware-Angriff

Nach der Sammlung werden die Daten in sogenannten Stealer-Logs gebündelt, häufig komprimiert und verschlüsselt, um Data-Loss-Prevention-Systeme zu umgehen. Anschliessend werden sie an einen vom Angreifer kontrollierten Server übertragen. Dort können die Betreiber die Daten selbst nutzen oder sie an andere kriminelle Gruppen verkaufen.

Ein verbreitetes Szenario: Ransomware-Gruppen erwerben Stealer-Logs, nutzen die enthaltenen Zugangsdaten und Sitzungen, um sich unbemerkt in Unternehmensnetze einzuloggen, und platzieren anschliessend Verschlüsselungs- oder Erpressungssoftware. Zwischen der initialen Infektion mit einem Infostealer und einer späteren Lösegeldforderung liegt oft nur ein kurzer Zeitraum.

Warum Infostealer so schwer zu bemerken sind

Infostealer sind für Angreifer attraktiv, weil sie einfach zu bedienen, schwer zu erkennen und sehr effizient sind. Viele Opfer bemerken die Infektion nie – sie sehen nur die Folgen, etwa eine kompromittierte Cloud-Instanz, unautorisierte Finanztransaktionen oder einen Ransomware-Vorfall.

Selbst wenn Threat-Intelligence-Dienste später gestohlene Zugangsdaten in Untergrundforen entdecken, ist der Schaden meist bereits eingetreten. Die Sichtbarkeit beschränkt sich dann auf die Bestätigung, dass ein Angriff stattgefunden hat, nicht auf dessen Verhinderung.

Fazit: Zugangsdaten als kritische Angriffsfläche

Infostealer haben Millionen von Geräten in Maschinen zur systematischen Erbeutung von Zugangsdaten verwandelt. In einer Welt, in der gestohlene Logins den klassischen Exploit zunehmend ablösen, wird der Schutz von Identitäten und Sitzungen zur zentralen Sicherheitsaufgabe. Unternehmen müssen ihre Verteidigungsstrategien konsequent auf den Missbrauch legitimer Zugangsdaten ausrichten – von starker Authentisierung über Sitzungsüberwachung bis hin zu schneller Erkennung kompromittierter Accounts. Ohne diesen Fokus bleibt die Eingangstür weit offen, selbst wenn alle Fenster gut gesichert sind.

Quelle: https://www.securityweek.com/infostealers-turn-millions-of-devices-into-credential-theft-machines/