Was machen Infostealer und wie funktionieren sie?
Infostealer sind eine Art von Malware, die entwickelt wurde, um Computersysteme zu infizieren und lokal gespeicherte Daten wie gespeicherte Benutzernamen und Passwörter, Browser-Autofill-Einträge, Finanzinformationen und andere personenbezogene Daten zu stehlen.
Eine gängige Taktik ist es, dich dazu zu verleiten, eine präparierte Datei oder ein Installationsprogramm auszuführen. Angreifer tun dies typischerweise durch Phishing, Malvertising oder Social Engineering im Stil von „Klick-zum-Beheben“. Sobald die Malware ausgeführt wird, sammelt sie Daten von gängigen Speicherorten (wie Webbrowsern, E-Mail-Clients und Passwortmanagern), verpackt die gestohlenen Informationen dann in einer Protokolldatei und sendet sie an einen vom Angreifer kontrollierten Infrastrukturserver. Viele Operationen verwenden ein Backend-Panel, das diese Protokolle empfängt, organisiert und leicht durchsuchbar macht.
Nach der Datenexfiltration verkaufen die Infostealer-Betreiber die Protokolle gewinnbringend, tauschen sie in privaten Communities aus oder geben sie an ihre kriminellen Kollegen weiter, die die gestohlenen Daten dann für Folgeangriffe wie Kontoübernahme und Betrug verwenden.
Wie gelangen Infostealer auf ein Gerät?
Infostealer-Malware infiziert dein Gerät normalerweise, wenn du selbst aus Versehen eine bösartige Datei ausführst. Angreifer verwenden Social Engineering und andere Verbreitungswege, die Malware legitim, nützlich oder dringend erforderlich erscheinen lassen. Die häufigsten Infektionswege sind:
Gecrackte Software, Cheats, Mods und „kostenlose“ Tools
Infostealer können über gecrackte Software, Game-Cheats oder Mods und inoffizielle Installationsprogramme verbreitet werden, wobei die Malware an legitime Programme angehängt wird. Diese Dateien werden auf Torrent-Websites, File-Hosting-Plattformen, in Foren und in Videobeschreibungen geteilt, wo Nutzer dazu neigen, Warnungen zu deaktivieren oder Sicherheitshinweise zu ignorieren. Sobald die Datei ausgeführt wird, läuft die eingeschleuste Malware parallel zur beworbenen Software und sammelt gespeicherte Daten.
Gefälschte Download-Seiten, Malvertising und gesponserte Suchfallen
Infostealer werden auch über betrügerische Anzeigen, gesponserte Suchergebnisse und gefälschte Download-Seiten verbreitet, die echte Software-Websites imitieren. Diese Seiten tauchen auf, wenn du nach beliebten Tools, Updates oder Patches suchst und sind gerade gut genug gemacht, um einen schnellen visuellen Check zu bestehen. Aber ein unachtsamer Klick auf einen gefälschten Download-Button kann die legitime Software gegen eine Infostealer-Payload austauschen.
Bösartige Browser-Erweiterungen
Infostealer können auch über bösartige Browser-Erweiterungen verbreitet werden, die sich als legitime Tools ausgeben, wie z. B. Werbeblocker, Produktivitäts-Add-ons oder Preis-Tracker. Wenn du sie deinem Browser hinzufügst, arbeiten diese Erweiterungen in seiner vertrauenswürdigen Umgebung mit direktem Zugriff auf gespeicherte Passwörter, Cookies und aktive Sitzungen. Aufgrund dieser Tarnung kann eine bösartige Erweiterung lange an Ort und Stelle bleiben, nachdem sie die Daten, für die sie gekommen ist, bereits erbeutet hat.
Über Chat-Apps und Cloud-Speicher geteilte Links und Dateien
Infostealer können auch über Links und Dateien auf dein Gerät gelangen, die in Chat-Plattformen wie Gruppenchats, Servern und Direktnachrichten sowie über Cloud-Speicher-Links, die in Foren oder sozialen Medien gepostet werden, geteilt werden. Angreifer teilen „kostenlose Tools“, „Premium-Inhalte“ oder „Fixes“ und nutzen dann integrierte Datei-Hosting-Dienste oder freigegebene Ordner, um infizierte Archive und Installationsprogramme zu liefern. Wenn du die Datei öffnest, führt der Infostealer seine Funktionen aus und beginnt, lokal gespeicherte Daten zu sammeln.
Loader-Netzwerke und Pay-per-Install-Kampagnen
Manchmal werden Infostealer durch Loader-Malware auf Geräte gepusht. Dabei handelt es sich um ein kleines Programm, das bereits auf deinem Gerät ausgeführt wird und dessen einziger Zweck darin besteht, andere bösartige Dateien herunterzuladen und zu starten. Loader werden typischerweise auf die gleiche Weise installiert wie Infostealer (durch manipulierte Downloads, Phishing-Anhänge oder infizierte Links), aber sie verbleiben auf den Geräten, sodass Angreifer später neue Payloads bereitstellen können. Kriminelle Betreiber bezahlen diese Loader-Netzwerke, um Infostealer nach Land oder Volumen auf infizierte Computer zu pushen. Dieses Modell macht es unnötig, denselben Nutzer zweimal zu täuschen, und verwandelt die Malware-Lieferung in einen automatisierten Dienst.
Opferprofile, auf die es Infostealer am meisten abgesehen haben
Die Benutzer, die am häufigsten von Infostealern betroffen sind, sind in der Regel diejenigen, deren Geräte eine dichte Mischung aus gespeicherten Passwörtern, synchronisierten Logins und offenen Tabs mit aktiven Sitzungen enthalten. Bei einer großen Anzahl von Fällen tauchen immer wieder die gleichen Arten von Benutzern auf, geprägt von dem, was sie online tun und welche Tools sie verwenden. Die folgenden Profile skizzieren gängige Opferprofile und zeigen, wie scheinbar normales Verhalten zu einem verlockenden Ziel werden kann.
Das Profil „Immer eingeloggt“
Das Profil „Immer eingeloggt“ beschreibt meistens Windows-Benutzer, die in ihren Konten angemeldet bleiben und viel Zeit in sozialen Netzwerken (wie Facebook, Instagram und X), auf bezahlten Medien- und Streaming-Plattformen, Online-Shopping-Websites und persönlichen Finanzdienstleistungsseiten verbringen. Diese Nutzer neigen dazu, Passwörter zu speichern und Sitzungen aktiv zu halten, weil sie ihre Konten täglich benutzen und sich selten abmelden. Und aus der Sicht eines Angreifers ist das ein leichtes Ziel.
Das Profil „Gamer“
Das Profil „Gamer“ umfasst Benutzer, die Zeit in großen Gaming-Umgebungen verbringen und regelmäßig Game-Launcher, Mods, Cheats und Add-ons von Drittanbietern installieren, um das Gameplay anzupassen oder freizuschalten. Sie führen mehr Dateien von Drittanbietern aus als die meisten Benutzer, was die Wahrscheinlichkeit erhöht, einen präparierten Download auszuführen und einen einfachen Einstiegspunkt für Angreifer zu schaffen. Infostealer infizieren Geräte von gezielten „Gamern“ durch geknackte Spiele, inoffizielle Mods oder „kostenlose“ Performance-Tools, die mit Malware verseucht sind. Gaming-Konten speichern in der Regel Zahlungsdetails und digitale Käufe, und Browser-Sitzungen bleiben normalerweise aktiv, was erklärt, warum Infostealer-Betreiber diese Gruppe bevorzugen.
Das Profil „IT-Profi“
So ironisch es klingen mag, das Profil „IT-Profi“ ist ein Hauptziel für böswillige Akteure. Infostealer treffen IT-Experten hart, weil ihre Endpunkte (meistens PCs, die für Engineering oder IT-Administration verwendet werden) lukrative Anmeldedaten und Admin-Zugriffe an einem Ort konzentrieren. Sie speichern oft Admin-Logins, API-Tokens und Remote-Zugangsdaten neben alltäglichen Browser-Daten. Wenn ein Infostealer auf einem solchen Gerät landet, können gestohlene Browser-Daten zum ersten Baustein für den Zugriff auf interne Tools und Infrastruktur eines Unternehmens werden.
Warum Cookie-Diebstahl Passwörter und MFA aushebeln kann
Da sich die Anmeldesicherheit im Laufe der Zeit verbessert hat, haben sich auch die Taktiken der Infostealer geändert. Infostealer-Betreiber zielen heute öfter auf Authentifizierungs-Cookies und Session-Tokens ab als auf reine Passwörter. Diese Änderung spiegelt wider, wie du dich heutzutage bei deinen Konten anmeldest. Man verlässt sich vermehrt auf Passwort-Manager und Multi-Faktor-Authentifizierung (MFA), weshalb Angreifer Daten ins Visier nehmen, die diese Abwehrmechanismen umgehen können.
Cookies und Tokens werden nach einer erfolgreichen Anmeldung ausgestellt. Das bedeutet, dass sie es einem Angreifer manchmal ermöglichen können, sich Zugang zu einem Konto zu verschaffen, ohne dass ein weiterer Anmeldebildschirm oder eine MFA-Aufforderung ausgelöst wird. Was das Risiko noch erhöht, ist die Dauer, für die eine Sitzung gültig bleibt. Ein gestohlener Token kann wiederverwendet werden, bis die Sitzung abläuft oder der Dienst ihn widerruft, was Angreifern ein Zeitfenster gibt, um sich durch eingeloggte Dienste zu bewegen.
Auf Untergrund-Marktplätzen werden gestohlene Sitzungsdaten inzwischen als eigene Ware gehandelt, wobei die „Frische“ eines Logs direkt seinen Preis bestimmt. Die Verlagerung vom Passwortdiebstahl hin zum Diebstahl von Session-Cookies und Tokens ist ein gutes Beispiel dafür, wie Angreifer auf stärkere Authentifizierungsmechanismen reagieren und sich anpassen.
So minimiert du das Risiko, dein Gerät mit Infostealer-Malware zu infizieren
Um das Risiko zu verringern, dass dein Gerät mit Infostealer-Malware infiziert wird, begrenze, wie viel Kontozugriff dein Gerät gleichzeitig speichert, und damit, wie weit sich ein Angreifer bewegen kann, falls ein Infostealer dein Gerät kompromittiert. Der Grund ist, den Angreifer-Radius zu verkleinern, indem du die Konten und Sitzungen, die andere Konten oder Dienste entsperren, straffer fasst. Die folgenden Schritte zeigen dir, wie du das tun kannst, ohne deine Online-Routine komplett neu aufbauen zu müssen:
- Schütze zuerst deine sensibelsten Konten. Denke in Bezug auf Gateways, nicht an die bloße Anzahl von Konten. Sichere zuerst deine Haupt-E-Mail und deinen Identitäts-Login, dann wende die gleichen Schutzmaßnahmen auf Banking, Shopping und wichtige Arbeitsdienste an. Nutze MFA und Passkeys, wo immer sie unterstützt werden, und versuche, diese Hauptkonten nicht nur mit Passwörtern zu schützen.
- Lass deinen Browser weniger speichern. Gehe regelmäßig die Passwörter durch, die dein Browser oder Passwort-Manager speichert, lösche diejenigen, die du nicht mehr benutzt, und melde dich von allen Sitzungen ab, die dir unbekannt erscheinen. Halte auch dein Betriebssystem und deinen Browser auf dem neuesten Stand, denn ältere Versionen sind leichter auszunutzen und nach einer Infostealer-Infektion schwerer wiederherzustellen.
- Gehe mit Downloads und „kostenlosen“ Tools vorsichtig um. Vermeide die Installation von inoffiziellen Launchern oder gecrackter Software. Und wenn dich ein Tool bittet, Schutzfunktionen zu deaktivieren oder Sicherheitsaufforderungen zu umgehen, um es zu installieren, betrachte dies als Warnsignal und lass es bleiben.
- Achte auf Übernahmesignale. Behandle unerwartete Login-Benachrichtigungen, Passwort-Reset-E-Mails, die du nicht angefordert hast, und neue Geräteanmeldungen als Signale für eine Kontoübernahme. Ändere Passwörter über ein anderes Gerät (nicht das, von dem du vermutest, dass es infiziert wurde), widerrufe aktive Sitzungen, wo der Dienst es zulässt, und überprüfe die Kontowiederherstellungseinstellungen, damit Angreifer nicht über E-Mail oder Backup-Codes wieder eindringen können.
Online-Sicherheit beginnt mit einem Klick.
Bleib sicher – mit dem weltweit führenden VPN
