Infostealer – Wie kann man sie verhindern und ihre Auswirkungen abmildern?

Infostealer sind eine Art Schadsoftware, die in Computersysteme eindringt, um sensible Informationen wie Anmeldedaten und Finanzinformationen zu stehlen. Diese Form von Malware, die primär auf Browserdaten abzielt und verdeckt agiert, kann sich über viele Angriffsvektoren verbreiten, darunter Phishing-E-Mails, schädliche Downloads, Malvertising und andere.

Cybersicherheitsbericht Demo anfordern

Was sind Infostealer?

Infostealer sind Teil einer breiter angelegten Datenexfiltrationsindustrie, wobei die gestohlenen Informationen häufig verpackt und im Darknet gehandelt werden. Cyberkriminelle vermarkten Infostealer auch als Malware-as-a-Service (MaaS), wodurch die Einstiegshürde für Kriminelle gesenkt wird.

Angesichts eines ausgereiften Ökosystems rund um die Datenexfiltration und einer Abkehr von anderen Angriffsvektoren stellen Infostealer eine wachsende Bedrohung dar, vor der Sie sich schützen müssen.

Der Stand der Cybersicherheit im Jahr 2025: Infostealer sind auf dem Vormarsch

Check Point -Bericht „State of Cybersicherheit 2025“ geht detailliert auf den rasanten Anstieg von Infostealern ein:

  • Die verschiedenen Malware-Infektionsvektoren
  • Die expandierende Branche, die sich um die Exfiltration von Unternehmensdaten entwickelt hat
  • Die potenziellen Auswirkungen auf die Datensicherheit für Unternehmen

Der Bericht ergab, dass die Angriffe von Infostealern im Jahr 2024 um 58 % zunehmen werden.

Während sich die Technologie hinter informationsstehlender Malware im vergangenen Jahr nicht wesentlich weiterentwickelt hat, machen der Rückgang großer Botnetze, die Reife des breiteren Marktes für Datenexfiltration und die zunehmende Verbreitung von Fernarbeit sie zu einem effizienten Einstiegspunkt für das Eindringen in Unternehmensnetzwerke.

Infostealer-Angriffe sind typischerweise breit angelegt und zielen auf viele Personen und Organisationen ab, anstatt in ein bestimmtes Unternehmensnetzwerk einzudringen.

Untersuchungen zeigen, dass 70 % aller von Infostealern infizierten Geräte private und nicht geschäftliche Geräte sind . Eines der Hauptziele der Ausrichtung auf private Geräte ist der Zugriff auf Unternehmensressourcen über Bring Your Own Gerät (BYOD)-Zugangspunkte.

Der Infostealer-Marktplatz

Eine schnelle und relativ einfache Methode, um an sensible Unternehmensinformationen zu gelangen: Infostealer können rasch große Mengen an Protokollen sammeln (Anmeldedaten oder andere sensible Informationen, die den Zugang zu einem Unternehmensnetzwerk ermöglichen und als Ausgangspunkt für eine größere Datenschutzverletzung dienen).

Malware als Dienstleistung

Da sie in der Lage sind, schnell große Mengen an Protokolldateien zu sammeln, vermarkten die Cyberkriminellen hinter Infostealern diese nun über MaaS an weniger technisch versierte Bedrohungsakteure.

Beispiele für die beliebtesten Infostealer-MaaS-Plattformen im Darknet sind:

  • RedLine Stealer
  • LummaC2
  • StealC
  • Vidar

Der MaaS-Kunde oder -Partner kauft Lizenzen für diese Infostealer-Tools, um eigene Infektionskampagnen durchzuführen. Die zurückgegebenen Mengen gestohlener Daten werden dann auf dem Marktplatz für Infostealer verkauft oder gehandelt. Am häufigsten über Plattformen wie Telegram oder Untergrundmärkte, von denen viele in Russland ansässig sind.

MaaS-Infostealer-Plattformen konkurrieren miteinander anhand der Qualität der Protokolle und der Fähigkeit, gestohlene Daten schnell zu klassifizieren und auf dem Marktplatz zu präsentieren. Der Wert dieser Protokolle nimmt mit der Zeit ab, da die Sicherheitsteams von der Bedrohung erfahren, die Infostealer-Software aus ihrem Netzwerk entfernen und alle entstandenen Risiken beheben.

Daher müssen Anbieter von Infostealern einen schnellen Zugriff auf ihre neuesten Protokolle ermöglichen, wenn diese am wertvollsten sind.

Initial Access Brokers

Neben Anbietern und Partnern spielen auch die Initial Access Brokers (IABs) eine Rolle im Ökosystem der Infostealer. Das sind Leute, die die anfänglichen Informationen nutzen, um in Unternehmensnetzwerken Fuß zu fassen.

Sie gewährleisten, dass ein Protokoll in einen breiteren Netzwerkzugriff umgewandelt werden kann. 

Durch die Erbringung dieser Dienstleistung können sie den Zugang zu bestimmten Zielen in Foren des Darknets weiterverkaufen und so Bedrohungsakteure mit spezifischen Zielen, wie beispielsweise Ransomware-Angriffen, anlocken. Diese Bedrohungsakteure könnten die vom Infostealer erlangten Daten weiter monetarisieren, indem sie Angriffsfunktionen über RANSOMWARE-as-a-Service (RaaS) anbieten.

Die durch diese Machenschaften generierten Gelder sowie einfachere Finanzkriminalität im Cyberraum (Identitätsdiebstahl, Betrug, unautorisierte Transaktionen usw.) treiben das Wachstum des Ökosystems der Infostealer an.

Ziele von Infostealern

Die Datenanalyse zeigt, dass die am häufigsten zum Verkauf stehenden Logdateien den größten Online-Dienstleistern und Social-Media-Plattformen gehören. Die Top 5 sind:

  1. accounts.google.com
  2. facebook.com
  3. roblox.com
  4. login.live.com
  5. instagram.com

Angesichts der breit angelegten und ungerichteten Natur der meisten Infostealer-Infektionskampagnen ist es nicht verwunderlich, dass gestohlene Anmeldeinformationen zu den beliebtesten Diensten gehören.

Analysen legen jedoch nahe, dass Gamer anfälliger für Infostealer-Angriffe sein könnten als andere, da Anmeldeinformationen für verwandte Websites und Dienste weit verbreitet sind: Roblox, Discord, Twitch und Epic Games gehören zu den Top 13. Dies könnte an weniger strengen Internethygiene-Vorschriften in diesen Gemeinschaften liegen.

Infostealer Geografische Daten

Infostealer haben oft enge Verbindungen zu Russland, wobei die Protokolle auf russischen Märkten verkauft werden. Eine Analyse der Logdateien auf dem russischen Markt zeigt, dass ein erheblicher Teil aus Ländern wie Indien und Brasilien stammt.

Die fünf wichtigsten Herkunftsländer für auf dem russischen Markt verkauftes Brennholz sind unten aufgeführt:

  1. Indien 10%
  2. Brasilien 8 %
  3. Indonesia 5%
  4. Pakistan 5%
  5. Ägypten 5%

Wie man sich vor Datendiebstahl schützt

Der Schutz vor informationsstehlender Malware und Datenexfiltration erfordert ausgefeilte Sicherheitsprozesse und bewährte Verfahren, die Ihre gesamte Organisation abdecken. Dies umfasst den Schutz aller potenziellen Einfallstore, wie beispielsweise BYODs, die für Remote- oder Hybridarbeit verwendet werden.

Diese Geräte erweitern Ihre Angriffsfläche dramatisch und bieten Datendieben viel mehr Möglichkeiten.

IABs können Protokolle für persönliche Geräte identifizieren, die einen Zugang zu einem wertvollen Unternehmensnetzwerk bieten – und dabei sogar mehrstufige Authentifizierungsmechanismen (MFA) umgehen, indem sie auf persönlichen Geräten gefundene Sitzungscookies stehlen. Daher muss jeder Sicherheitsprozess, den Sie haben, über den traditionellen Unternehmensperimeter hinausgehen und jeden Zugangspunkt einbeziehen.

Wichtige Methoden, um zu verhindern, dass Infostealer in Ihre Systeme eindringen:

  • Social-Engineering-Angriffe erkennen: Da Infostealer am häufigsten über Phishing und schädliche Downloads verbreitet werden, ist Ihre beste Verteidigung, Ihre Mitarbeiter darin zu schulen, Social-Engineering-Angriffe zu erkennen. Darüber hinaus sollten Sie E-Mail-Sicherheitstools in Betracht ziehen, die verdächtige E-Mails oder Links blockieren.
  • Browser-Synchronisierung verhindern: Dadurch wird sichergestellt, dass Passwörter für Ihre Unternehmenssysteme nicht über private Geräte zugänglich sind.
  • Nutzung von fortschrittlichem Identitätsmanagement und Zugriffskontrolle: Diese Systeme verfolgen das Verhalten und reagieren auf verdächtige Aktivitäten. Achten Sie auf Tools, die bei der Erkennung verdächtiger Aktivitäten sofort blockieren oder neue Verifizierungsmethoden einführen.
  • Proaktive Suche nach Protokollen: Suchen Sie auf Infostealer-Märkten oder im Darknet nach Protokollen, die mit Ihrem Unternehmen und seinen Mitarbeitern in Verbindung stehen, oder nutzen Sie Bedrohungsinformationen, um potenzielle Datenlecks, einschließlich gehackter Konten, aufzuspüren.
  • Einbindung von Endgerät Detection and Response (EDR): Überwachung und Behebung von Malware-Cybersicherheitsbedrohungen wie Infostealern. Durch die Nutzung von verhaltens- und signaturbasierter Erkennung können EDR- Tools Malware in Ihrem Netzwerk schnell identifizieren, bevor es zu einem schwerwiegenden Datenleck kommen kann.
  • Nutzung der Multi-Faktor-Authentifizierung: Obwohl es für Datendiebe möglich ist, die Multi-Faktor-Authentifizierung über Session-Cookies zu umgehen, ist sie dennoch ein wertvolles Instrument zum Schutz vor dem Zugriff auf andere Arten von Daten. Die Multi-Faktor-Authentifizierung (MFA) bietet eine Sicherheitsvorkehrung für den Fall, dass ein Informationsdieb Zugriff auf die Anmeldeinformationen erlangt und versucht, einen umfassenderen Angriff durchzuführen.

Schützen Sie sich vor Datendiebstahl und mindern Sie die Risiken mit Check Point.

Infostealer stellen eine wachsende Bedrohung für die Cybersicherheit dar und ermöglichen immer schwerwiegendere Datenschutzverletzungen. Da sich um Infostealer ein umfangreiches Ökosystem der Cyberkriminalität entwickelt, ist diese Malware der Schlüssel dazu, Ihr Netzwerk Bedrohungsakteuren weltweit zugänglich zu machen.

Moderne Marktplätze für Infostealer machen das Hacken von Unternehmensnetzwerken und das Erlangen unautorisierten Zugriffs zu einer Frage der Finanzen und nicht der technischen Fähigkeiten. Protokolldatenbanken stehen jedem zur Verfügung, der bereit ist zu zahlen. Ohne angemessene Schutzmaßnahmen gegen Infostealer riskieren Sie, dass Bedrohungsakteure, die im Darknet surfen, sich ein anderes Ziel suchen als Ihr Unternehmen.

Mehr über das wachsende Risiko von Infostealern und wie Sie Ihr Unternehmen schützen können, erfahren Sie im Bericht „The State of Cybersicherheit 2025“ von Check Point.

Loslegen

Check Point Endpoint Security Protection

Zero Trust Security

Advanced Network Threat Prevention

Verwandte Themen

Malware-Typen

Agent Tesla Malware

FormBook-Malware

Remcos Malware

Remote Access Trojan (RAT)