Infostealer: Was ist das, wie werden sie verbreitet und wie lassen sie sich aufhalten?

Auf unseren Computern sind jede Menge Informationen gespeichert: Kennwörter, Kreditkartendaten, Browserverläufe und so weiter.

Stellen Sie sich jetzt vor, wie jemand (oder etwas) all diese Daten durchstöbert und die wichtigsten davon stiehlt.

Das sind sogenannte Infostealer (dt. Infodiebe). Dabei handelt es sich um eine schädliche Software, die darauf ausgelegt ist, Ihre vertraulichen Daten zu stehlen, um sie dann auf dem Schwarzmarkt weiterverkaufen oder weitere Cyberangriffe durchführen zu können.

In diesem Artikel haben wir für Sie die wichtigsten Informationen über Infostealer zusammengestellt: Was genau sie sind, wie sie verbreitet werden und wie sie sich aufhalten lassen.

Was sind Infostealer?

Wie der Name schon andeutet sind Infostealer eine Art Malware, die darauf ausgelegt ist, auf dem kompromittierten System hoch vertrauliche Daten zu sammeln. Diese werden dann an den Server der Angreifer geschickt und häufig auf dem Schwarzmarkt verkauft, um mit diesen dann Betrügereien zu begehen oder sich unerlaubten Zugriff auf die verschiedensten Ressourcen und Konten zu verschaffen.

Infostealer können auf den infizierten Geräten eine Vielzahl von Daten stehlen, wie:

Infostealer werden häufig als eine Malware-as-a-Service (MaaS) eingesetzt. Bei diesem Geschäftsmodell vermieten die Entwickler ihre Schadsoftware für eine Gebühr an Dritte. Damit wird es nahezu jeder Person unabhängig von ihren technischen Fähigkeiten ermöglicht, Malware einzusetzen.

Infostealer unterscheiden sich in ihrer Funktionsweise und der Art, wie sie Daten extrahieren. Einige sind ausschließlich auf die Datensammlung ausgelegt, während andere Fernzugriffsfunktionen bieten, mit denen die Angreifer weitere Malware auf dem infizierten System abladen und ausführen können.

Weshalb verwenden Angreifer Infostealer?

Infostealer-Angriffe sind in der Regel finanziell motiviert. Die gestohlenen Daten werden analysiert und jegliche wertvollen Informationen in einer Datenbank zusammengefasst und organisiert, die dann über das Darknet oder private Telegram-Kanäle verkauft wird. Die Käufer können diese dann für die unterschiedlichsten Betrügereien einsetzen, etwa um Kredite oder Kreditkarten zu beantragen, online einzukaufen oder betrügerische Versicherungsansprüche zu stellen. Außerdem können sie versuchen, sich mithilfe der gestohlenen Zugangsdaten Zugriff auf Unternehmenskonten und Remote-Dienste zu verschaffen. Ist dies gelungen, lassen sich aufgrund der Berechtigungen des gehackten Kontos weitere bösartige Aktivitäten ausführen.

Er Schädling wird auch häufig in Ransomware-Angriffen eingesetzt. Ransomware-Betreiber sind zunehmend dazu übergegangen, vor der Bereitstellung des eigentlichen Ransomware-Payloads viel Zeit in der Zielumgebung zu verbringen. Diese nutzen sie, um mit unterschiedlichsten Techniken, etwa dem Einsatz von Infostealern, noch fester im System Fuß zu fassen. Indem sie sich Zugangsdaten verschaffen, können sich Angreifer weiter im System ausbreiten und sich zusätzliche Berechtigungen verschaffen, während sie gleichzeitig Gerätedaten sammeln, wie IP-Adressen, das Land, den Internetdienstanbieter, das Betriebssystem, Browser-Informationen usw. Auf diese Weise lassen sich die Angriffe dann weiter auf die entsprechende Umgebung anpassen, um größtmöglichen Schaden anzurichten.

Wie kommt es zu einer Infektion mit einem Infostealer?

Infostealer können über die unterschiedlichsten Angriffsmethoden verbreitet werden. Zu den häufigsten gehören:

Wie können Sie Ihr System vor Infostealern schützen?

Mit den folgenden Maßnahmen können Sie das Risiko minimieren, sich diesen Schädling einzufangen.

Es gibt viele verschiedene Infostealer-Familien. Im folgenden stellen wir Ihnen die häufigsten vor.

RedLine

RedLine ist einer der weltweit am häufigsten eingesetzten Infostealer. Der erstmals 2020 beobachtete Schädling zielt auf das Windows-Betriebssystem ab. Er wird in der Regel im Untergrund über russische Malware-Foren gehandelt, wo er als Einzelversion oder im Abonnement gekauft werden kann.

RedLine versucht die unterschiedlichsten Daten vom Gerät des Opfers zu sammeln, etwa von Internetbrowsern, FTP-Clients, Sofortnachrichtendiensten, Wallets für Kryptowährung, VPN-Diensten oder Gaming-Clients. Sobald das Tool eine Verbindung mit dem externen Steuerserver hergestellt hat, lassen sich darüber weitere Funktionen ausführen, wie das Herunterladen von Dateien, das Ausführen von portablen Dateien oder von Anfragen per CMD.exe und vieles mehr.

Raccoon Stealer

Racoon Stealer tauchte erstmals 2019 auf der Bildfläche auf und extrahiert Daten zu Krypto-Wallets, Browser-Cookies, Kennwörtern, Informationen zum automatischen Ausfüllen von Formularen sowie Kreditkartendaten. Er wird als MaaS betrieben und in erster Linie über Phishing-Kampagnen und Exploit-Kits verbreitet. Der Betrieb von Racoon Stealer wurde im März 2022 eingestellt, möglicherweise aufgrund des Todes eines der verantwortlichen Entwickler, der im Krieg zwischen Russland und Ukraine ums Leben kam. Anfang Juli 2022 wurde jedoch eine neue Version der Malware veröffentlicht. Diese ist im Gegensatz zu den Vorgängerversionen, die in C++ geschrieben worden waren, in C programmiert.

Interessanterweise sendet Raccoon Stealer Daten bei jedem neu gefundenen Element. Das ist im Gegensatz zu den konventionellen Praktiken der Datenexfiltration recht ungewöhnlich, denn normalerweise sammeln derartige Tools zunächst eine große Menge an Daten und verschicken diese dann im Paket, um das Risiko einer Entdeckung zu minimieren. Darüber hinaus setzt Raccoon Stealer 2.0 auch keine Obfuskationstechniken ein, um sich zu verstecken oder nicht analysiert werden zu können. Den Entwicklern scheint es folglich eher um Geschwindigkeit als um Raffinesse zu gehen.

Vidar

Der ebenfalls häufig vorkommende Infostealer Vidar kann eine Reihe von vertraulichen Daten stehlen, wie Bank- und Anmeldedaten, IP-Adressen, Browserverläufe und Krypto-Wallets. Als Ableger der Arkei-Malware-Familie wurde Vidar erstmals 2018 beobachtet. Seither gehört er zu einem der beliebtesten Infostealer, da er leicht einzusetzen ist, ständig weiterentwickelt wird und über aktive Support-Kanäle verfügt. Angreifer können Vidar außerdem individuell darauf konfigurieren, welche Daten gestohlen werden sollen.

Fazit

Infostealer sind in der Lage, eine Vielzahl von vertraulichen Informationen zu stehlen, die die Kriminellen dann verkaufen oder für weitere Angriffe nutzen können. Sie werden in der Regel über Spam, Malvertising, kompromittierte Konten und Raubkopien verbreitet. Indem Sie stets genau überlegen, worauf Sie klicken, Ihren Browser immer auf dem neuesten Stand halten und MFA nutzen, können Sie das Risiko einer Infektion sowie die Auswirkungen eines Angriffs minimieren.

 

Übersetzung: Doreen Schäfer

Senan Conrad

Weitere Artikel