Die wachsende Bedrohung durch Infostealer geht erst richtig los: Angreifer müssen nicht mehr hacken – sie loggen sich einfach ein…
In der heutigen IT-Sicherheitslandschaft sind Infostealer eine der größten Bedrohungen für Unternehmen und Privatpersonen. Diese Schadsoftware infiziert Systeme, stiehlt sensible Daten – darunter Anmeldeinformationen, Finanzdaten und persönliche Identitäten – und verkauft diese im Darknet.
Das Ergebnis? Hacker müssen nicht mehr aufwändig in Systeme hacken – sie melden sich einfach mit gestohlenen Zugangsdaten an.
Infostealer haben das Sicherheitsrisiko grundlegend verändert: Wer einmal infiziert wurde, verliert unter Umständen die Zugänge zu sämtlichen Online-Diensten, Tools und Webseiten. Identitäten werden als Komplettpakete verkauft, sodass Kriminelle sofort Zugriff auf E-Mail-Konten, Unternehmensnetzwerke und Finanzplattformen erhalten – ganz ohne Brute-Force-Angriffe oder auffällige Hacking-Methoden.
Unsere aktuelle Recherche hat ergeben, dass im Darknet Zugänge von über 30 Millionen Geräten vorliegen. Das sind dann meist ganze Userprofile inkl. der Anmeldedaten. Zugänge zu über 11 Millionen Domains und Daten von über 11 Millionen kompromittieren Android Geräten, die zum Verkauf oder auch kostenfrei zur Verfügung gestellt werden.
Dieser Blog klärt auf, warum das so ist und was jedes Unternehmen hieraus ableiten sollte.
Wie Infostealer infizieren
Infostealer sind darauf spezialisiert, Login-Daten, Cookies, Browser-Sitzungen, Autofill-Daten und sogar Kreditkartendetails unbemerkt zu stehlen. Die Malware gelangt häufig über Phishing-Mails, manipulierte Webseiten oder infizierte Software-Downloads auf das System.
Sobald die Ransomware aktiv ist, durchsucht sie verschiedene Anwendungen nach gespeicherten Zugangsdaten und sendet diese an Cyberkriminelle, die sie weiterverkaufen oder für gezielte Angriffe nutzen. Der Benutzer bemerkt hiervon nichts.
- Phishing-E-Mails: Schadanhänge oder manipulierte Links starten den Download der Malware.
- Illegale Software & Cracks: Infizierte Raubkopien oder vermeintlich kostenlose Tools enthalten versteckte Infostealer.
- Kompromittierte Websites: Drive-by-Downloads infizieren Nutzer unbemerkt beim Besuch einer Seite.
- Malvertising (Schadhafte Online-Werbung): Infizierte Werbeanzeigen verteilen die Schadsoftware über seriöse Webseiten.
- WebBrowser Erweiterungen: Jeder Nutzer kann, wenn es nicht von der Administration beschränkt ist, beliebige WebBrowser Erweiterungen installieren. Diese haben Zugriff auf alle Ihre Browsertabs und können die Tastatureingaben abgreifen.
- Addons für Spiele: Viele Spiele bieten sogenannte Mods an, also Erweiterungen von Spielen wie z.B. Mindcraft, GTA, CounterStrike, Pubg, Sims, etc. Viele dieser Programme und deren Erweiterungen sind unbemerkt durch Infostealer verseucht.
Typische Infektion von Infostealern:
Aktuelle Infostealer-Bedrohungen 2025
Die Bedrohung durch Infostealer wächst rasant. Viele Varianten nutzen moderne Verschleierungstechniken, um Sicherheitslösungen zu umgehen. Die derzeit gefährlichsten Infostealer sind:
1. Lumma Stealer
Lumma Stealer ist einer von den fortschrittlichsten Infostealer-Varianten und wird ebenfalls als Malware-as-a-Service (MaaS) angeboten. Seit seiner Entdeckung im Jahr 2022 hat sich Lumma in mehreren Versionen bösartig weiterentwickelt und nutzt modernste Verschleierungs- und Anti-Sandbox-Techniken, um Sicherheitslösungen zu umgehen.
Warum Lumma so gefährlich ist:
- Session-Cookies: Neben Passwörtern kann Lumma auch aktive Session-Cookies extrahieren, wodurch Angreifer in viele Konten einsteigen können, selbst wenn MFA aktiviert ist.
- Gezielte Angriffe auf Unternehmen: Lumma wird oft zur Unternehmensspionage und für Finanzbetrug eingesetzt.
- Ständige Weiterentwicklung: Die Entwickler hinter Lumma veröffentlichen regelmäßig Updates, um Erkennungsmechanismen zu umgehen.
Lumma Stealer wird häufig über Discord-Kanäle, Fake-Software-Downloads und manipulierte Werbeanzeigen verbreitet. Die Kombination aus hoher Flexibilität, effektiver Tarnung und Zugangsdaten-Exfiltration in Echtzeit macht Lumma zu einer der größten Infostealer-Bedrohungen des Jahres 2025. Gerade in der Gaming-Szene, also bereits in Kinder- und Jugendzimmern, haben diese Hochkonjunktur.
2. Vidar Stealer
Vidar ist ein leistungsstarker Infostealer, der seit 2018 aktiv ist. Er kann nicht nur Passwörter und Cookies aus Browsern extrahieren, sondern auch spezifische Dateien vom System stehlen. Vidar ist besonders gefährlich, da er sehr modular aufgebaut ist, was bedeutet, dass Angreifer die Funktionen anpassen und erweitern können.
3. Stealc Stealer
Stealc wurde erstmals im Jahr 2023 entdeckt und ist eine Weiterentwicklung bekannter Infostealer wie Vidar und Raccoon. Besonders gefährlich ist seine Fähigkeit, über 23 Webbrowser sowie Kryptowährungs-Wallets, Messenger-Dienste und E-Mail-Clients anzugreifen. Zudem verfügt Stealc über eine flexible Konfiguration, die es Angreifern ermöglicht, ihre Angriffe gezielt zu steuern.
4. RedLine Stealer
Einer der am weitesten verbreiteten Infostealer, der als Malware-as-a-Service (MaaS) verkauft wird. Er stiehlt Zugangsinformationen, Kryptowährungs-Wallets und gespeicherte Formulardaten aus Browsern.
5. Agent Tesla
Ein leistungsfähiger Infostealer mit integrierter Keylogger- und Datenexfiltrations-Funktion, der gezielt Unternehmensdaten abgreift.
6. Raccoon Stealer
Ein besonders einfacher, aber gefährlicher Infostealer, der Zugangsdaten für E-Mails, Krypto-Wallets und Browser-Konten sammelt.
7. FleshStealer
Seit September 2024 aktiv, nutzt dieser Infostealer verschlüsselte Kommunikation und virtuelle Maschinen-Erkennung, um der Analyse zu entgehen.
8. Banshee Stealer (macOS)
Ein neuer Infostealer, der speziell für Apple-Geräte entwickelt wurde. Dies zeigt, dass macOS-Systeme mittlerweile genauso betroffen sind wie Windows.
Die Folgen: Identitätsdiebstahl – Cyberkriminelle stehlen Anmeldeinformationen als Ware für das Darknet
Sobald Infostealer eine Identität kompromittiert haben, werden die erbeuteten Daten oft im Darknet verkauft. Dort kaufen Cyberkriminelle vollständige Zugangsdaten für Online-Dienste, Firmennetzwerke oder Finanzkonten.
Was passiert mit gestohlenen Zugangsdaten?
- Verkauf auf Marktplätzen im Darknet: Zugangsdaten-Pakete sind oft für wenige Euro erhältlich.
- Gezielte Angriffe auf Unternehmen: Gestohlene Business-Konten werden für CEO-Fraud, Phishing-Kampagnen oder interne Manipulationen genutzt.
- Einstiegspunkt für Ransomware-Angriffe: Viele Ransomware-Gruppen kaufen Zugangsdaten, um Unternehmen zu infiltrieren.
- Identitätsdiebstahl & Kontoübernahmen: Bankkonten, E-Mail-Postfächer oder Social-Media-Accounts werden manipuliert oder weiterverkauft.
Das „No-Hack“-Problem
Früher mussten Cyberkriminelle Systeme aufwändig knacken, Sicherheitslücken ausnutzen oder Firewalls umgehen. Heute genügt es, auf dem Schwarzmarkt gestohlene Logins zu kaufen und sich als rechtmäßiger Nutzer anzumelden.
Diese Methode ist besonders gefährlich, weil:
- Sie keine Sicherheitsalarme auslöst – Es gibt keine auffälligen Login-Versuche oder Brute-Force-Angriffe.
- Sie plattformübergreifend funktioniert – Windows, macOS, Cloud-Dienste – überall, wo Nutzer ihre Passwörter speichern, sind sie angreifbar.
- Sie hochgradig gezielt eingesetzt wird – Angreifer haben direkten Zugriff auf Konten mit echten Anmeldeinformationen, wodurch Angriffe schwerer zu entdecken sind.
Sicherheit für Unternehmen: Wie kann man sich gegen Infostealer schützen?
Da herkömmliche Sicherheitsmaßnahmen nicht mehr ausreichen, müssen Unternehmen und Privatpersonen auf mehrschichtige Sicherheitsstrategien setzen:
1. Starke Authentifizierung nutzen
- Multi-Faktor-Authentifizierung (MFA) aktivieren: Selbst wenn Passwörter gestohlen werden, bietet MFA eine weitere Hürde. Diese Hürde wird vor allem in WLAN-Netzen bereits sehr erfolgreich umgangen, wie zum Beispiel in HotSpots, Hotel WLANs etc. Als Stichwort kann hier Pineapple von Hak5 genannt werden.
- Browser-Speicherung von Passwörtern deaktivieren: Infostealer extrahieren gespeicherte Anmeldedaten mühelos. Dieses muss zentral und unternehmensweit auf allen Systemen erwirkt werden.
2. Erweiterte Endpoint-Sicherheit einsetzen
- EDR/XDR-Lösungen nutzen: Ein modernes EDR/XDR ist der obligatorische Basisschutz für jedes Unternehmen. Es hält erfolgreich einfache Angriffsformen fern. Ebenso wichtig wie die Installation ist die proaktive dauerhafte Betreuung und Überwachung dieses Systems. Dies erfordert tieferes Sicherheits-, Prozess- und Netzwerkverständnis.
- Zero Trust Security umsetzen: Um Ihre Sicherheit grundlegend zu verbessern, kommen Unternehmen heute um einen Zero Trust Schutzschirm nicht mehr vorbei. Dieser verändert Ihre Sicherheitslage fundamental. Bisher galt: „Alle Programme haben die gleichen Rechte und Zugriffe und Möglichkeiten und zwar die des gerade angemeldeten Users“. Und genau das ist heute fatal, denn so kann sich unbemerkt Software oder ein Skript aktivieren, welches Zugriff auf alle Daten des Users erhält, sowie den Internetzugang des Users. Perfekt um Daten abzugreifen oder zu zerstören oder um eine Backdoor bzw. ReverseShell zu etablieren. Ein Virenschutz arbeitet nur auf Detektion, er versucht das Böse zu erkennen. Das ist heute nicht mehr ausreichend und schützt nur vor sehr einfachen Angriffsverfahren. Durch ein Ringfencing mit dem Zero Trust Schutz schützen Sie sich auch vor unbekannten Angriffsverfahren. Es minimiert das Risiko, indem es die Sichtbarkeit Ihrer Daten minimiert und nur noch den bekannten Programmen gestattet. Außerdem können die Programme keine neuen Programme/Prozesse mehr starten (Bsp. Microsoft Teams oder einen Browser). Alles Unbekannte wird pauschal blockiert. Die InfoStealer und Hacker nutzen heute viele Tools die fest in Windows integriert sind, die sogenanten LOLBAS Tools. Der Virenschutz und auch eine Whitelisting Lösung erlaubt diese, da Sie benötigt werden. Durch den Ringfencing Teil im Zero Trust Schirm, werden diese Tools so eingeschränkt, dass diese keinen Internetzugang mehr haben und auf Ihre Daten nicht mehr zugreifen können. Mit den LOLBAS Tools arbeiten die Angreifer unter dem Radar der EDR/XDR-Systeme. Durch den Zero Trust Schutzschirm beschränken Sie die Möglichkeiten dieser Tools. Außerdem können Sie die Sichtbarkeit Ihrer Netzwerkdienste durch Zero Trust NAC so steuern, dass nur Ihre Geräte diese noch nutzen und sehen können. Sie verschatten Ihre IT vor allem vor Fremden. Anwender sind heute massiv überfordert, Schädliches zu erkennen. Und moderne KI Verfahren werden dies weiter verschärfen.
3. Passwörter regelmäßig ändern und überwachen
Das zu häufige ändern von Passwörtern sorgt bei den Mitarbeitern für wenig Akzeptanz. Wir hatten bisher empfohlen, diese einmal pro Jahr zu ändern. Durch die neue Situation der InfoStealer heißt dies jedoch, dass Angreifer bis zu einem Jahr valide Anmeldedaten besitzen und diese handeln. Daher sollten Sie das Intervall heute deutlich kürzer einplanen.
- Passwort-Manager nutzen: Ein sicheres Tool hilft, starke und einzigartige Passwörter zu erstellen.
- Leaked Credentials prüfen: Dienste wie Have I Been Pwned informieren, wenn Passwörter kompromittiert wurden.
4. Mitarbeiterschulungen zu Phishing und Malware-Gefahren
- Phishing-E-Mails und betrügerische Webseiten erkennen.
- Keine Software von unbekannten Quellen herunterladen: Jede neue Software sollte durch einen Prüfprozess laufen. Mit welchen Internetressourcen spricht das Programm? Welche Dateien ändert das Programm bei der Installation und bei der Ausführung. Welche Änderungen an der Windows Registry werden vorgenommen? Auch diese Änderungen werden durch einen Zero Trust Schutzschirm vorab genau durchleuchtet und die Software bei Unbedenklichkeit freigeben. Wir erleben nahezu jeden Monat Software Rollouts, bei denen die Programme sehr seltsame Aktivitäten aufweisen und wir daraufhin den Hersteller darauf ansprechen. In keinem dieser Fälle wusste der Hersteller bereits davon, doch durch unser Eingreifen konnte ein Schaden im Vorhinein abgewendet werden. Hierzu zählen auch Kunden im Versorgerbereich.
- Links und Absenderadressen sollten dementsprechend immer überprüft werden.
5. Netzwerkverkehr und Datenabfluss überwachen
- DLP-Tools (Data Loss Prevention) einsetzen, um unbefugte Datenübertragungen zu erkennen.
- Firewall-Regeln anpassen: Erstellen Sie ein DENY ALL und erlauben Sie nur das nötigste.
- DNS-Filter: Steuern Sie alle DNS-Anfragen über einen DNS-Filter und detektieren Sie so schnell Anomalien.
Fazit: IT-Sicherheit muss sich anpassen – traditionelle Schutzmaßnahmen scheitern
Die größte Bedrohung ist heute nicht mehr der Hacker, der versucht, sich gewaltsam Zugang zu verschaffen – sondern der Cyberkriminelle, der sich einfach mit echten Zugangsinformationen einloggt.
Infostealer wie RedLine, Vidar, Stealc und Lumma zeigen, dass die herkömmliche Passwort-Sicherheit überholt ist. Unternehmen und Privatpersonen müssen sich darauf einstellen, dass gestohlene Zugangsinformationen jederzeit zum Verkauf stehen – und entsprechend handeln.
Das hat direkte Auswirkungen auf Ihre gesamte IT-Sicherheitsstrategie.
Das bedeutet:
- Perimetersicherheit allein reicht nicht mehr aus – es braucht Zero Trust, kontinuierliche Überwachung und adaptive Authentifizierung.
- Passwörter sind keine sichere Authentifizierungsmethode mehr – MFA und passwortlose Verfahren müssen zum Standard werden.
- Unternehmen und Privatpersonen müssen sich bewusst machen, dass ihre Anmeldedaten jederzeit kompromittiert werden können.
- Es sind von der IT Werkzeuge zu liefern, die es Usern einfach machen, erhöhte Sicherheit zu leben, so dass dies nicht zum Nervfaktor wird. Wenn dieser z.B. für jedes Produkt einen eigenen MFA-Prozess durchlaufen muss, ohne durch Software unterstützt zu werden, ist er schnell gereitzt.
ADVANCED ist ein IT-Systemhaus mit dem Schwerpunkt auf Cybersecurity. Seit über 25 Jahren beraten und betreuen wir mittelständische Kunden stets auf Augenhöhe, zielgerichtet und ganzheitlich. Dabei behalten wir Ihre Unternehmensziele immer im Blick.
Sprechen Sie uns gern an, wir sind für Sie da.
Bleiben Sie sicher / Stay secure.