• Wachsende Bedrohung durch Infostealer

Wachsende Bedrohung durch Infostealer

Stefan Feist | Technischer Redakteur
Autor: Stefan FeistTechnischer RedakteurAuf LinkedIn vernetzen

Die Bedrohung durch Infostealer wächst: Ein Anstieg um mehr als 650 % verdeutlicht die Brisanz der aktuellen Lage. Welche Malware-Arten dabei besonders verbreitet sind und wie Sie sich schützen können, erfahren Sie in unserem Blogartikel.

31.07.2024|zuletzt aktualisiert:31.07.2024

Was sind Infostealer?

Cyber-Angriffe und digitale Bedrohungen sind heutzutage allgegenwärtig. Eine der gefährlichsten Arten von Malware, die sowohl Privatpersonen als auch Unternehmen betrifft, ist der sogenannte Infostealer. Diese Malware zielt darauf ab, vertrauliche Informationen zu stehlen und stellt damit eine erhebliche Gefahr für IT-Systeme und Personen dar. Zu diesen Informationen gehören Login-Daten, Passwörter, Bankdaten, Kreditkarteninformationen und andere persönliche Daten.

Wozu werden Infostealer eingesetzt?

Die erbeuteten Informationen werden an den Angreifer übermittelt, der sie für verschiedene illegale Aktivitäten wie Identitätsdiebstahl, finanzielle Betrügereien oder den Verkauf dieser Daten im Darknet verwenden kann. So können sich Kriminelle unbefugt in Online-Konten wie E-Mail, soziale Medien, E-Banking und andere Dienste einloggen, um diese zu übernehmen. Oder sie eröffnen neue Konten im Namen des Opfers, beispielsweise, um über diese Konten Einkäufe zu tätigen.

Gestohlene Anmeldeinformationen werden auch verwendet, um sich über Fernzugriffsdienste wie Virtual Private Networks (VPNs) und Microsoft Office Web Access (OWA) unberechtigten Zugang zu Unternehmensnetzwerken zu verschaffen. Dieser unbefugte Zugriff kann zur Exfiltration sensibler Daten oder zum Einsatz von Ransomware führen, was erhebliche finanzielle Verluste und Reputationsschäden zur Folge haben kann. Obwohl der Name „Infostealer“ auf Datendiebstahl hinweist, hat sich diese Malware im Laufe der Zeit weiterentwickelt und umfasst nun auch die Bereitstellung zusätzlicher Tools und Malware.

Woher stammen Infostealer?

Infostealer werden über spezielle Foren und Märkte im Dark Net vertrieben, wobei das Volumen der zum Verkauf stehenden Logs oder Sammlungen gestohlener Daten in alarmierendem Maße zunimmt. Allein auf Russian Market betrug das Gesamtwachstum zwischen Juni 2021 und Mai 2023 670 %. Stand Mai 2023 bot Russian Market fünf Millionen Logs zum Verkauf an, etwa zehnmal mehr als sein nächster Konkurrent 2easy. Russian Market ist bei russischen Cyberkriminellen sehr gut etabliert und wird von Angreifern aus aller Welt in großem Umfang genutzt. Zudem deutet einiges darauf hin, dass sich die Website aktiv an die sich ständig verändernde Cybercrime-Landschaft anpasst.

Häufig werden die Infostealer im Abonnement angeboten, wobei die Preise zwischen 50 US-Dollar und 100 US-Dollar pro Monat schwanken. Im Preis inkludiert sind dann in vielen Fällen der Zugang zu einem vom Entwickler betriebenen Command-and-Control-Server (C2) sowie Features zum Anzeigen, Herunterladen und Weitergeben gestohlener Daten. Selbst gehostete Stealer-C2-Server sind erhältlich und werden in der Regel gegen eine Pauschalgebühr verkauft.

Die genutzten Marktplätze sind oft nur über Tor oder die Anonymisierungsdienste des Invisible Internet Project (I2P) zugänglich und haben meist strenge Regeln und Vorgaben, welche Arten von Informationen gehandelt werden dürfen. Die Angebote sind in der Regel nur Mitgliedern zugänglich.

Welche Arten von Infostealern gibt es?

Mit dem Trojaner ZeuS, der es auf Online-Banking-Zugangsdaten abgesehen hatte, wurden Infostealer 2006 bekannt. Nach der Veröffentlichung des ZeuS-Quellcodes im März 2011 nahm die Popularität dieser Art von Malware weiter zu, und es wurden mehrere Varianten des Trojaners erstellt. Die folgenden drei Varianten gehören aktuell zu den populärsten:

  • RedLine Infostealer

    RedLine ist das meistverkaufte Protokoll auf Russian Market und wurde im März 2020 eingeführt. RedLine wird als Standalone-Version oder im Abonnement angeboten. Im März 2023 wurden Standalone-Versionen (die „PRO“-Version) auf Telegram für 900 US-Dollar angeboten, Abonnements für 150 US-Dollar pro Monat oder 400 US-Dollar für drei Monate.

    RedLine stiehlt Informationen aus Webbrowsern, darunter gespeicherte Anmeldeinformationen, Daten zur automatischen Vervollständigung, Kreditkarteninformationen und Kryptowährungsguthaben. Wenn RedLine auf einem infizierten System ausgeführt wird, sammelt es Informationen über den Benutzernamen, die Standortdaten, die Hardwarekonfiguration und die installierte Sicherheitssoftware.

    RedLine wird über gecrackte Spiele oder Cheats, Anwendungen und Dienste sowie über Phishing-Kampagnen und bösartige Werbung verbreitet. Ebenfalls wurde beobachtet, wie bösartige Microsoft OneNote-Dateien oder YouTube (mit Hilfe der Malware SM Viewbot) zur Verbreitung genutzt wurden.

  • Raccoon Infostealer

    Raccoon ist schnell zu einem der am weitesten verbreiteten Infostealer aufgestiegen. Er ist bekannt für seine einfache Handhabung und seine Fähigkeit, eine Vielzahl von Informationen zu stehlen, darunter Browserdaten, Kryptowährungs-Wallets und E-Mail-Konten. Raccoon Stealer wird häufig als Malware-as-a-Service (MaaS) im Darknet verkauft.

    Der ursprüngliche Raccoon Stealer tauchte 2019 auf. Er enthielt keinen Verteilungsmechanismus, so dass die Kunden eine Methode entwickeln mussten, um den Infostealer auf kompromittierten Systemen zu installieren. Das Raccoon Stealer-Panel wurde auf einer Tor-Website gehostet.

  • Vidar Infostealer

    Vidar ist ein weiterer weit verbreiteter Infostealer, der für seine Fähigkeit zum Sammeln einer Vielzahl von Daten, einschließlich Browserdaten, Passwörtern und Anmeldeinformationen für Kryptowährungs-Wallets, bekannt ist. Vidar wird häufig als Teil von Malware-Kampagnen eingesetzt, die über infizierte Websites oder Phishing-E-Mails verbreitet werden.

    Vidar dient in erster Linie als Infostealer, wurde aber auch zur Verbreitung von Ransomware eingesetzt. Die Malware trat erstmals 2019 im Rahmen einer groß angelegten Malvertising-Kampagne auf, bei der Bedrohungsakteure das Fallout Exploit Kit zur Verbreitung von Vidar und GandCrab als sekundäre Payload verwendeten. Vidar wird in Untergrundforen und Telegram-Kanälen als eigenständiges Produkt verkauft, in der Regel für 130 US-Dollar pro Woche bis 750 US-Dollar für drei Monate. Vidar bietet eine Administrationsoberfläche, über die Kunden die Malware konfigurieren und Infektionen überwachen können.

Infostealer mit staatlichem Auftrag

Infostealer werden nicht nur von Cyberkriminellen eingesetzt. Da Infostealer in der Lage sind, sensible Daten diskret und effizient aus Zielsystemen zu exfiltrieren, werden sie häufig von Staaten und deren Geheimdiensten eingesetzt, die sich auf Cyberspionageoperationen konzentrieren.

Beispielsweise haben chinesische Gruppierungen mit staatlichem Auftrag Infostealer eingesetzt, um verschiedene staatliche und öffentliche Einrichtungen in Asien auszuspionieren. Unter anderem wurden dabei Tastatureingaben protokolliert und Screenshots aufgezeichnet.

Ökosystem Infostealer

Die erfolgreiche Entwicklung und Anwendung von Infostealern umschließt eine Vielzahl an Aufgaben, was dazu führt, dass es unterschiedliche Rollen und Zuständigkeiten beim Einsatz von Infostealern gibt.

Zudem hat das Aufkommen von Malware-as-a-Service die Entwickler dazu bewogen, ihre Produkte stetig zu verbessern und ein breiteres Kundenspektrum anzusprechen. So bietet Russian Market seinen Nutzern beispielsweise die Möglichkeit, gestohlene Anmeldeinformationen für eine bestimmte Organisation, ein Unternehmen oder eine Anwendung vorzubestellen. Dies ermöglicht es den Cyberkriminellen, sehr gezielt vorzugehen.

Entwickler

Malware-Entwickler sind für das Schreiben und die Pflege des Codes verantwortlich, der verpackt und in Untergrundforen verkauft wird.

Initial Access Broker (IABs)

IABs sind Einzelpersonen oder Gruppen, die Zugang zu Tools von MaaS-Betreibern mieten. Anschließend setzen sie diese Infostealer über Phishing- oder bösartige Werbekampagnen ein, um Systeme zu infizieren.

Kunden

Daten werden für eine Vielzahl von Zwecken gekauft. Finanziell motivierte Cyberkriminelle können Anmeldedaten für Kryptowährungs-Wallets, Online-Banking oder andere Finanzdienste erwerben und diese für betrügerische Abhebungen oder Transaktionen missbrauchen. Ransomware-Gruppen haben es häufig auf Infostealer-Protokolle abgesehen, da Zugangsdaten für RDP, VPNs und Unternehmenskonten einen ersten Zugang zu Unternehmen ermöglichen können, bevor die Daten exfiltriert und verschlüsselt werden.

Log-Parser

Einige Marktplätze bieten eine integrierte Parsing-Funktion als Browser-Erweiterung an, die den Kunden Zugriff auf Geräte-Fingerprints und Daten ermöglicht. Andere Marktplätze wie Russian Market und 2easy verkaufen rohe Logs. Diese müssen geparst werden, um den Inhalt interpretieren und nutzen zu können. So ist ein Sekundärmarkt für Einzelpersonen entstanden, die Parser-Tools an Kunden verkaufen, die entweder Infostealer verwendet haben und strukturierte Daten verkaufen möchten, oder an Käufer, die im Besitz großer Rohprotokolle sind.

Wie können Sie sich vor Infostealern schützen?

Eine der größten Angriffsvektoren für Infostealer sind Phishing-Kampagnen. Es ist deshalb unverzichtbar, sich umfassend vor diesen Bedrohungen zu schützen. NoSpamProxy bietet eine Reihe von Features, mit der Sie sich vor Phishing-Angriffen schützen können.

  • Prüfung der Senderreputation

    Durch die automatische Absendererkennung kann NoSpamProxy feststellen, ob eine E-Mail tatsächlich vom angegebenen Absender stammt. Dazu verwendet NoSpamProxy die Absenderreputationsmethoden SPF, DKIM, DMARC und ARC. Um gezielt vor Phishing- und CEO-Fraud-Angriffen zu schützen, wird zusätzlich eine umfangreiche Prüfung des Header-FROM – der Kopfzeile einer E-Mail – durchgeführt.

  • Level of Trust

    Mithilfe der Level-of-Trust-Technologie lernt NoSpamProxy, zu wem Sie oder Mitarbeiter Ihrer Firma Kontakt aufnehmen. Dabei werden anhand einer Vielzahl von Merkmalen Punkte vergeben, anhand derer das Vertrauen in einen Kommunikationspartner berechnet wird. Level of Trust ist aber mehr als eine dynamische Whitelist: NoSpamProxy Protection scannt auch ausgehende E-Mails und vergibt Vertrauenspunkte für die Empfänger dieser E-Mails. So werden gewünschte Kommunikationsbeziehungen erlernt.

  • Content Disarm and Reconstruction

    Die Behandlung von E-Mail-Anhängen ist ein entscheidender Faktor bei der Bekämpfung von Malware. Mit NoSpamProxy werden Anhänge im Word-, Excel- oder PDF-Format regelbasiert und automatisiert in unkritische PDF-Dateien umgewandelt. Dabei wird eventuell vorhandener Schadcode entfernt und dem Empfänger ein garantiert unbedenklicher Anhang zugestellt. Das PDF-Dokument enthält optional eine Vorschaltseite mit individuellen Hinweisen zum Grund der Konvertierung und – falls gewünscht – einen Link zum Originaldokument, das sich in einer speziell isolierten Umgebung befindet.

  • CxO-Betrugserkennung

    Die CxO-Fraud-Erkennung von NoSpamProxy vergleicht den Absendernamen eingehender E-Mails mit den Namen wichtiger Benutzer in Ihrem Unternehmen. Auf diese Weise werden gefälschte E-Mails, die im Namen von Vorgesetzten, Mitarbeitern oder Kunden an Sie oder Ihre Mitarbeiter gesendet werden, vom Spam-Filter abgefangen.

  • 32Guards und 32Guards Sandbox

    32Guards ist eine leistungsfähige Anti-Malware-Intelligenz, die Angriffe durch Spam und Malware schnell und gezielt erkennt und abwehrt. Dabei nutzt 32Guards die Metadaten von E-Mails und erkennt neue Angriffswellen aller Art in kürzester Zeit.

    Der 32Guards Sandbox Service erweitert Ihre Sicherheitskonfiguration um eine entscheidende Schutzebene und verhindert, dass Sie sensible Daten verlieren, finanzielle Schäden erleiden oder Ihre Handlungsfähigkeit einbüßen.

Noch kein NoSpamProxy im Einsatz?

Mit NoSpamProxy schützen Sie Ihr Unternehmen zuverlässig vor Cyberangriffen. Fordern Sie jetzt Ihre kostenfreie Testversion an! 

NoSpamProxy kostenfrei testen
NoSpamProxy Cloud Update Juli 2024NoSpamProxy Cloud Update Januar 2023 PreviewWas ist Typosquatting PreviewWas ist Typosquatting?