Val jij binnen het profiel van de typische slachtoffers van infostealers?

Wat doen infostealers en hoe werken ze?

Infostealers zijn een type malware dat computersystemen infecteert om lokaal opgeslagen gegevens te stelen, zoals gebruikersnamen en wachtwoorden, opgeslagen informatie in de browser, financiële informatie en andere persoonlijke gegevens.

Een veelgebruikte tactiek is om een slachtoffer te verleiden een besmet bestand of een installer uit te voeren. Aanvallers doen dit vaak via phishing, malvertising of trucs, zoals valse pop-ups die beweren een probleem op te lossen. Zodra de malware actief is, verzamelt het gegevens uit veelgebruikte opslagplaatsen (zoals webbrowsers, e-mailclients en wachtwoordmanagers), verpakt het de gestolen informatie in een logbestand en stuurt het de info naar een server die door de aanvaller wordt gecontroleerd. Veel operaties maken gebruik van een beheersysteem dat deze logbestanden ontvangt, organiseert en eenvoudig doorzoekbaar maakt.

Na het stelen van gegevens verkopen infostealer-operators de logbestanden voor winst, ruilen ze de informatie binnen besloten netwerken of geven ze deze door aan andere criminelen, die de gestolen gegevens gebruiken voor vervolgaanvallen en scams, zoals accountdiefstal en fraude.

Hoe komen infostealers op je apparaat?

Infostealers infecteren een apparaat meestal wanneer een gebruiker per ongeluk een kwaadaardig bestand uitvoert. Aanvallers gebruiken social engineering en kanalen die malware laten lijken op legitieme of nuttige bestanden. Dit zijn de meest voorkomende manieren waarop apparaten geïnfecteerd raken:

Cracked software, cheats, mods en ‘gratis’ tools

Infostealers worden vaak verspreid via cracked software, game cheats, mods en onofficiële installers, waarbij de malware zich verschuilt in legitieme programma’s. Deze bestanden worden gedeeld op torrentwebsites, P2P-forums en in videobeschrijvingen, waar gebruikers vaak waarschuwingen uitschakelen of negeren. Zodra ze worden uitgevoerd, verzamelt de malware gegevens terwijl de geadverteerde software draait.

Nep-downloadpagina's, malvertising en gesponsorde zoekresultaten

Infostealers worden ook verspreid via frauduleuze advertenties, scareware pop-ups, gesponsorde zoekresultaten en nep-downloadpagina’s die echte sofwaresites nabootsen. Deze pagina’s verschijnen wanneer mensen naar populaire tools, updates of patches zoeken en zien er overtuigend genoeg uit om een snelle controle te doorstaan. Maar met één onoplettende klik op een valse downloadknop kan je een infostealer downloaden in plaats van legitieme software.

Kwaadaardige browserextensies

Infostealers kunnen ook via kwaadaardige browserextensies worden verspreid die zich voordoen als legitieme tools, zoals adblockers, productiviteitstools of prijstrackers. Eenmaal toegevoegd aan de browser werken deze extensies binnen de vertrouwde omgeving en hebben ze directe toegang tot opgeslagen wachtwoorden, cookies en actieve sessies. Door deze camouflage kan een kwaadaardige extensie actief blijven, zelfs nadat het de gegevens heeft gestolen waarvoor het was bedoeld.

Links en bestanden gedeeld via chatapps en cloudopslag

Infostealers kunnen ook op een apparaat terechtkomen via links en bestanden die gedeeld worden in chatplatforms zoals groepschats, op servers en in directe berichten, evenals via cloudopslaglinks die op forums of social media worden geplaatst. Aanvallers delen ‘gratis tools’, ‘premium content’ of ‘oplossingen’ en gebruiken ingebouwde bestandsdeling of gedeelde mappen om besmette archieven en installers te verspreiden. Wanneer een slachtoffer het bestand opent, wordt de infostealer uitgevoerd en begint het gegevens te verzamelen die lokaal zijn opgeslagen.

Loader-netwerken en pay-per-install campagnes

Soms worden infostealers op apparaten geplaatst door loadermalware, een klein programma dat al op een apparaat draait en alleen bedoeld is om andere kwaadaardige bestanden te downloaden en uit te voeren. Loaders worden op dezelfde manier geïnstalleerd als infostealers (via besmette downloads, phishingbijlagen of kwaadaardige links), maar blijven op de apparaten zodat aanvallers later nieuwe payloads kunnen afleveren. Criminele operators betalen loadernetwerken om infostealers naar geïnfecteerde computers te sturen, op basis van land of volume. Dit model maakt het mogelijk om malware automatisch te verspreiden zonder dezelfde gebruiker twee keer te misleiden.

Op welke profielen richten infostealers zich?

Gebruikers die het hardst worden getroffen door infostealers zijn degenen met veel opgeslagen wachtwoorden, gesynchroniseerde logins en open sessies op hun toestel. Ie profielen worden bepaald door hun online gedrag en de tools die ze gebruiken. Hieronder schetsen we de meest voorkomende slachtoffertypes en hoe ogenschijnlijk normaal gedrag hen tot een aantrekkelijk doelwit maakt.

Profiel: de gebruiker die altijd ingelogd is

Het ‘altijd-ingelogd’ profiel betreft vooral Windows-gebruikers die continu ingelogd blijven op hun accounts en veel tijd doorbrengen op sociale netwerken (zoals Facebook, Instagram en X), op betaalde media- en streamingplatforms, veel online winkelen en bankapps gebruiken. Ze slaan hun wachtwoorden vaak op en houden hun sessies actief omdat ze hun accounts dagelijks gebruiken – ze loggen zelden uit. Voor aanvallers is dit een gemakkelijke prooi.

Profiel: de gamer

Het ‘gamer’ profiel omvat gebruikers die tijd doorbrengen in grote game-ecosystemen en regelmatig game-launchers, mods, cheats en third-party add-ons installeren om gameplay te personaliseren of te ontgrendelen. Deze groep voert meer bestanden van derden uit dan de meeste gebruikers, wat de kans vergroot op het uitvoeren van een besmette download en een gemakkelijke toegang voor aanvallers creëert. Infostealers infecteren de apparaten van de doelwitten in deze groep via cracked games, onofficiële mods of ‘gratis’ prestatietools die besmet zijn met malware. Gamingaccounts bevatten meestal betalingsgegevens en digitale aankopen, en hun browsersessies blijven vaak actief, wat helpt te verklaren waarom infostealer-operators deze groep voorkeur geven.

Profiel: de IT-professional

Ironisch genoeg zijn ook IT-professionals een belangrijk doelwit voor criminelen. Infostealers treffen IT-professionals hard omdat hun apparaten (meestal pc's voor engineering of IT-beheer) veel waardevolle inloggegevens en admin-toegang bevatten. Ze slaan vaak beheerderslogins, API-tokens en toegangscodes op naast dagelijkse browsegegevens. Als een infostealer op zo'n apparaat terechtkomt, kan gestolen browserdata toegang geven tot internet tools en systemen, waardoor aanvallers verder kunnen doordringen.

Hoe cookie-diefstal wachtwoorden en MFA kan omzeilen

Met de verbetering van inlogbeveiliging hebben ook infostealers hun tactieken aangepast. Tegenwoordig richten ze zich vaker op authenticatiecookies en sessietokens dan op losse wachtwoorden. Dat sluit aan bij hoe mensen nu inloggen: met wachtwoordmanagers en multifactorauthenticatie (MFA). Daarom proberen aanvallers juist gegevens te stelen die deze beveiligingslagen kunnen omzeilen.

Na een succesvolle login worden er cookies en tokens aangemaakt. In sommige gevallen kunnen deze een aanvaller direct toegang geven tot een account, zonder opnieuw een wachtwoord of MFA-code te hoeven invoeren. Het risico is vooral afhankelijk van hoelang een sessie actief blijft. Een gestolen token kan hergebruikt worden totdat de sessie verloopt of ingetrokken wordt, waardoor aanvallers de tijd hebben om ingelogde diensten te misbruiken.

Op ondergrondse marktplaatsen worden gestolen sessiegegevens nu als eigen categorie beschouwd, waarbij de ‘versheid’ van een log de prijs bepaalt. De verschuiving van wachtwoorddiefstal naar het stelen van sessiecookies en tokens toont aan hoe aanvallers zich aanpassen aan strengere beveiliging.

Zo verklein je het risico dat je apparaat wordt geinfecteerd met infostealer-malware

Om het risico te verkleinen dat je apparaat geïnfecteerd raakt met infostealer-malware, moet je het aantal accounts dat je apparaat tegelijkertijd opslaat beperken. Dit verkleint de kans dat een aanvaller verder kan doordringen als een infostealer je apparaat compromitteert. Het doel is de impact te beperken door de accounts en sessies die andere accounts of diensten ontgrendelen beter te beveiligen. Hieronder geven we tips hoe je dit kunt doen:

• Bescherm eerst je meest gevoelige accounts. Focus op toegangspunten in plaats van het aantal accounts. Beveilig eerst je belangrijkste e-mailaccounts en pas dezelfde bescherming toe op bank-, winkel- en werkgerelateerde diensten. Gebruik MFA en wachtwoordloze inlogmethoden waar mogelijk, en zorg ervoor dat deze accounts niet alleen met wachtwoorden worden beveiligd.
• Laat je browser minder gegevens onthouden. Controleer regelmatig de wachtwoorden die je browser of wachtwoordmanager opslaat, verwijder de oude of ongebruikte wachtwoorden en log uit van sessies die je niet herkent. Zorg er ook voor dat je besturingssysteem en browser altijd up-to-date zijn, aangezien verouderde versies kwetsbaarder zijn voor aanvallen en moeilijker te herstellen na een infostealer-infectie.
• Wees voorzichtig met downloads en ‘gratis’ tools. Installeer nooit onofficiële launchers of cracked software. Als een tool je vraagt om beveiligingsinstellingen uit te schakelen of waarschuwingen te negeren, moet je dit als een rode vlag zien en niet verder gaan.
• Let op tekenen van accountovernames. Denk aan onverwachte inlogmeldingen, ongewenste wachtwoordreset-e-mails en nieuwe apparaataanmeldingen. Wijzig je wachtwoord via een veilig apparaat, beëindig actieve sessies in en controleer herstelinstellingen voor je accounts om te voorkomen dat aanvallers via e-mail of back-upcodes opnieuw toegang krijgen.