Was sind Infostealer?
Cyber-Angriffe und digitale Bedrohungen sind heutzutage allgegenwärtig. Eine der gefährlichsten Arten von Malware, die sowohl Privatpersonen als auch Unternehmen betrifft, ist der sogenannte Infostealer. Diese Malware zielt darauf ab, vertrauliche Informationen zu stehlen und stellt damit eine erhebliche Gefahr für IT-Systeme und Personen dar. Zu diesen Informationen gehören Login-Daten, Passwörter, Bankdaten, Kreditkarteninformationen und andere persönliche Daten.
Wozu werden Infostealer eingesetzt?
Die erbeuteten Informationen werden an den Angreifer übermittelt, der sie für verschiedene illegale Aktivitäten wie Identitätsdiebstahl, finanzielle Betrügereien oder den Verkauf dieser Daten im Darknet verwenden kann. So können sich Kriminelle unbefugt in Online-Konten wie E-Mail, soziale Medien, E-Banking und andere Dienste einloggen, um diese zu übernehmen. Oder sie eröffnen neue Konten im Namen des Opfers, beispielsweise, um über diese Konten Einkäufe zu tätigen.
Gestohlene Anmeldeinformationen werden auch verwendet, um sich über Fernzugriffsdienste wie Virtual Private Networks (VPNs) und Microsoft Office Web Access (OWA) unberechtigten Zugang zu Unternehmensnetzwerken zu verschaffen. Dieser unbefugte Zugriff kann zur Exfiltration sensibler Daten oder zum Einsatz von Ransomware führen, was erhebliche finanzielle Verluste und Reputationsschäden zur Folge haben kann. Obwohl der Name „Infostealer“ auf Datendiebstahl hinweist, hat sich diese Malware im Laufe der Zeit weiterentwickelt und umfasst nun auch die Bereitstellung zusätzlicher Tools und Malware.
Woher stammen Infostealer?
Infostealer werden über spezielle Foren und Märkte im Dark Net vertrieben, wobei das Volumen der zum Verkauf stehenden Logs oder Sammlungen gestohlener Daten in alarmierendem Maße zunimmt. Allein auf Russian Market betrug das Gesamtwachstum zwischen Juni 2021 und Mai 2023 670 %. Stand Mai 2023 bot Russian Market fünf Millionen Logs zum Verkauf an, etwa zehnmal mehr als sein nächster Konkurrent 2easy. Russian Market ist bei russischen Cyberkriminellen sehr gut etabliert und wird von Angreifern aus aller Welt in großem Umfang genutzt. Zudem deutet einiges darauf hin, dass sich die Website aktiv an die sich ständig verändernde Cybercrime-Landschaft anpasst.
Häufig werden die Infostealer im Abonnement angeboten, wobei die Preise zwischen 50 US-Dollar und 100 US-Dollar pro Monat schwanken. Im Preis inkludiert sind dann in vielen Fällen der Zugang zu einem vom Entwickler betriebenen Command-and-Control-Server (C2) sowie Features zum Anzeigen, Herunterladen und Weitergeben gestohlener Daten. Selbst gehostete Stealer-C2-Server sind erhältlich und werden in der Regel gegen eine Pauschalgebühr verkauft.
Die genutzten Marktplätze sind oft nur über Tor oder die Anonymisierungsdienste des Invisible Internet Project (I2P) zugänglich und haben meist strenge Regeln und Vorgaben, welche Arten von Informationen gehandelt werden dürfen. Die Angebote sind in der Regel nur Mitgliedern zugänglich.
Welche Arten von Infostealern gibt es?
Mit dem Trojaner ZeuS, der es auf Online-Banking-Zugangsdaten abgesehen hatte, wurden Infostealer 2006 bekannt. Nach der Veröffentlichung des ZeuS-Quellcodes im März 2011 nahm die Popularität dieser Art von Malware weiter zu, und es wurden mehrere Varianten des Trojaners erstellt. Die folgenden drei Varianten gehören aktuell zu den populärsten:
Infostealer mit staatlichem Auftrag
Infostealer werden nicht nur von Cyberkriminellen eingesetzt. Da Infostealer in der Lage sind, sensible Daten diskret und effizient aus Zielsystemen zu exfiltrieren, werden sie häufig von Staaten und deren Geheimdiensten eingesetzt, die sich auf Cyberspionageoperationen konzentrieren.
Beispielsweise haben chinesische Gruppierungen mit staatlichem Auftrag Infostealer eingesetzt, um verschiedene staatliche und öffentliche Einrichtungen in Asien auszuspionieren. Unter anderem wurden dabei Tastatureingaben protokolliert und Screenshots aufgezeichnet.
Ökosystem Infostealer
Die erfolgreiche Entwicklung und Anwendung von Infostealern umschließt eine Vielzahl an Aufgaben, was dazu führt, dass es unterschiedliche Rollen und Zuständigkeiten beim Einsatz von Infostealern gibt.
Zudem hat das Aufkommen von Malware-as-a-Service die Entwickler dazu bewogen, ihre Produkte stetig zu verbessern und ein breiteres Kundenspektrum anzusprechen. So bietet Russian Market seinen Nutzern beispielsweise die Möglichkeit, gestohlene Anmeldeinformationen für eine bestimmte Organisation, ein Unternehmen oder eine Anwendung vorzubestellen. Dies ermöglicht es den Cyberkriminellen, sehr gezielt vorzugehen.
Entwickler
Malware-Entwickler sind für das Schreiben und die Pflege des Codes verantwortlich, der verpackt und in Untergrundforen verkauft wird.
Initial Access Broker (IABs)
IABs sind Einzelpersonen oder Gruppen, die Zugang zu Tools von MaaS-Betreibern mieten. Anschließend setzen sie diese Infostealer über Phishing- oder bösartige Werbekampagnen ein, um Systeme zu infizieren.
Kunden
Daten werden für eine Vielzahl von Zwecken gekauft. Finanziell motivierte Cyberkriminelle können Anmeldedaten für Kryptowährungs-Wallets, Online-Banking oder andere Finanzdienste erwerben und diese für betrügerische Abhebungen oder Transaktionen missbrauchen. Ransomware-Gruppen haben es häufig auf Infostealer-Protokolle abgesehen, da Zugangsdaten für RDP, VPNs und Unternehmenskonten einen ersten Zugang zu Unternehmen ermöglichen können, bevor die Daten exfiltriert und verschlüsselt werden.
Log-Parser
Einige Marktplätze bieten eine integrierte Parsing-Funktion als Browser-Erweiterung an, die den Kunden Zugriff auf Geräte-Fingerprints und Daten ermöglicht. Andere Marktplätze wie Russian Market und 2easy verkaufen rohe Logs. Diese müssen geparst werden, um den Inhalt interpretieren und nutzen zu können. So ist ein Sekundärmarkt für Einzelpersonen entstanden, die Parser-Tools an Kunden verkaufen, die entweder Infostealer verwendet haben und strukturierte Daten verkaufen möchten, oder an Käufer, die im Besitz großer Rohprotokolle sind.
Wie können Sie sich vor Infostealern schützen?
Eine der größten Angriffsvektoren für Infostealer sind Phishing-Kampagnen. Es ist deshalb unverzichtbar, sich umfassend vor diesen Bedrohungen zu schützen. NoSpamProxy bietet eine Reihe von Features, mit der Sie sich vor Phishing-Angriffen schützen können.
Noch kein NoSpamProxy im Einsatz?
Mit NoSpamProxy schützen Sie Ihr Unternehmen zuverlässig vor Cyberangriffen. Fordern Sie jetzt Ihre kostenfreie Testversion an!