Infostealer: Was ist das, wie werden sie verbreitet und wie lassen sie sich aufhalten?

Auf unseren Computern sind jede Menge Informationen gespeichert: Kennwörter, Kreditkartendaten, Browserverläufe und so weiter.

Stellen Sie sich jetzt vor, wie jemand (oder etwas) all diese Daten durchstöbert und die wichtigsten davon stiehlt.

Das sind sogenannte Infostealer (dt. Infodiebe). Dabei handelt es sich um eine schädliche Software, die darauf ausgelegt ist, Ihre vertraulichen Daten zu stehlen, um sie dann auf dem Schwarzmarkt weiterverkaufen oder weitere Cyberangriffe durchführen zu können.

In diesem Artikel haben wir für Sie die wichtigsten Informationen über Infostealer zusammengestellt: Was genau sie sind, wie sie verbreitet werden und wie sie sich aufhalten lassen.

Was sind Infostealer?

Wie der Name schon andeutet sind Infostealer eine Art Malware, die darauf ausgelegt ist, auf dem kompromittierten System hoch vertrauliche Daten zu sammeln. Diese werden dann an den Server der Angreifer geschickt und häufig auf dem Schwarzmarkt verkauft, um mit diesen dann Betrügereien zu begehen oder sich unerlaubten Zugriff auf die verschiedensten Ressourcen und Konten zu verschaffen.

Infostealer können auf den infizierten Geräten eine Vielzahl von Daten stehlen, wie:

• Zugangsdaten für Online-Banking, E-Mail-Konten, soziale Netzwerke und FTP-Dienste
• Kreditkartendaten
• E-Mails
• Informationen zur Hardware
• Informationen zum Betriebssystem
• Wallets für Kryptowährung
• Screenshots
• Bestimmte Dateitypen (häufig Bilder, Dokumente, Tabellen usw.)

Infostealer werden häufig als eine Malware-as-a-Service (MaaS) eingesetzt. Bei diesem Geschäftsmodell vermieten die Entwickler ihre Schadsoftware für eine Gebühr an Dritte. Damit wird es nahezu jeder Person unabhängig von ihren technischen Fähigkeiten ermöglicht, Malware einzusetzen.

Infostealer unterscheiden sich in ihrer Funktionsweise und der Art, wie sie Daten extrahieren. Einige sind ausschließlich auf die Datensammlung ausgelegt, während andere Fernzugriffsfunktionen bieten, mit denen die Angreifer weitere Malware auf dem infizierten System abladen und ausführen können.

Weshalb verwenden Angreifer Infostealer?

Infostealer-Angriffe sind in der Regel finanziell motiviert. Die gestohlenen Daten werden analysiert und jegliche wertvollen Informationen in einer Datenbank zusammengefasst und organisiert, die dann über das Darknet oder private Telegram-Kanäle verkauft wird. Die Käufer können diese dann für die unterschiedlichsten Betrügereien einsetzen, etwa um Kredite oder Kreditkarten zu beantragen, online einzukaufen oder betrügerische Versicherungsansprüche zu stellen. Außerdem können sie versuchen, sich mithilfe der gestohlenen Zugangsdaten Zugriff auf Unternehmenskonten und Remote-Dienste zu verschaffen. Ist dies gelungen, lassen sich aufgrund der Berechtigungen des gehackten Kontos weitere bösartige Aktivitäten ausführen.

Er Schädling wird auch häufig in Ransomware-Angriffen eingesetzt. Ransomware-Betreiber sind zunehmend dazu übergegangen, vor der Bereitstellung des eigentlichen Ransomware-Payloads viel Zeit in der Zielumgebung zu verbringen. Diese nutzen sie, um mit unterschiedlichsten Techniken, etwa dem Einsatz von Infostealern, noch fester im System Fuß zu fassen. Indem sie sich Zugangsdaten verschaffen, können sich Angreifer weiter im System ausbreiten und sich zusätzliche Berechtigungen verschaffen, während sie gleichzeitig Gerätedaten sammeln, wie IP-Adressen, das Land, den Internetdienstanbieter, das Betriebssystem, Browser-Informationen usw. Auf diese Weise lassen sich die Angriffe dann weiter auf die entsprechende Umgebung anpassen, um größtmöglichen Schaden anzurichten.

Wie kommt es zu einer Infektion mit einem Infostealer?

Infostealer können über die unterschiedlichsten Angriffsmethoden verbreitet werden. Zu den häufigsten gehören:

• Spam: Angreifer verschicken Infostealer in der Regel per E-Mail, oftmals unter dem Deckmantel einer vertrauenswürdigen Organisation. Die Malware kann der E-Mail direkt als Anhang beigefügt werden oder die Empfänger werden dazu animiert, auf einen schädlichen Link zu klicken, über den dann der Infostealer heruntergeladen wird. Spam wird meistens als Massen-E-Mail verschickt, kann in Einzelfällen jedoch auch an bestimmte Gruppen oder einzelne Personen gerichtet sein.
• Kompromittiertes System: Wie bereits erwähnt werden Infostealer auch häufig per Fernzugriff bereitgestellt, nachdem sich die Angreifer Zugriff auf das System verschafft haben. In diesem Blogartikel erfahren Sie mehr darüber, wie Angreifer Sicherheitslösungen umgehen.
• Malvertising: Bösartige Werbung wird in den meisten Fällen über Websites bereitgestellt, die über ein Exploit-Kit kompromittiert wurden. Durch das Klicken auf die Werbung wird der schädliche Code zum Installieren des Infostealers ausgeführt oder der Benutzer wird auf eine bösartige Website umgeleitet, von der die Malware dann heruntergeladen wird. In einigen Fällen reicht schon das Ansehen der Werbung aus, um den Download des Infostealers zu starten.
• Raubkopien: Es ist auch nicht ungewöhnlich, dass Hackergruppen ihre Malware mit Raubkopien bündeln. Nahezu jede Art von Schadsoftware wurde schon einmal mit raubkopierter Software verteilt, auch Infostealer.

Wie können Sie Ihr System vor Infostealern schützen?

Mit den folgenden Maßnahmen können Sie das Risiko minimieren, sich diesen Schädling einzufangen.

• Zuerst denken, dann klicken: Die meisten Infostealer werden durch Handlungen des Benutzers verbreitet, wie das Klicken auf einen bösartigen E-Mail-Anhang oder das Herunterladen einer Datei über eine bösartige Website. Daher ist das wirkungsvollste Gegenmittel hier, sich immer gut zu überlegen, worauf man klickt. Öffnen Sie keine Anhänge von E-Mails, die Ihnen ungefragt zugeschickt wurden, seien Sie vorsichtig bei E-Mails, in denen sie nicht namentlich angesprochen werden, und halten Sie zunächst den Mauszeiger über die URL, um zu überprüfen, ob die Zieladresse dem verlinkten Text entspricht.
• Updates installieren: Einige Infostealer werden über bekannte Sicherheitslücken verbreitet. Die Wirksamkeit dieser Angriffsmethode lässt sich minimieren, indem Sie Ihren Browser, Ihr Betriebssystem sowie andere Anwendungen aktualisieren, sobald neue Updates verfügbar sind.
• Browser absichern: Sie können das Risiko, mit einem Infostealer oder anderen Malware-Arten infiziert zu werden, auch senken, indem Sie Ihren Browser absichern. Emsisoft Browser Security ist beispielsweise eine schlanke Browser-Erweiterung, die den Zugriff auf Malware verbreitende Websites blockiert und Phishingversuche verhindert.
• Mehrstufige Authentisierung verwenden: Die MFA (mehrstufige Authentisierung oder auch Zwei-Faktor-Authentisierung bzw. 2FA) bietet zusätzliche Sicherheit, mit der Sie den unerlaubten Zugriff auf Konten, Tools, Systeme und Datenspeicher verhindern können. Selbst wenn es Angreifern gelingt, Ihre Zugangsdaten zu stehlen, können sie höchstwahrscheinlich nicht den zur Authentisierung erforderlichen zweiten Schritt durchführen, um auf das kompromittierte Konto zuzugreifen.
• Keine Raubkopien verwenden: Es ist nicht ungewöhnlich, dass raubkopierte Software mit verschiedensten Formen von Malware beladen ist. Verwenden Sie also immer legale Anwendungen. Heutzutage gibt es viele kostenlose Alternativen wie Freemium- oder Open-Source-Lösungen, sodass Sie gar nicht erst das Risiko mit Raubkopien eingehen brauchen.

Es gibt viele verschiedene Infostealer-Familien. Im folgenden stellen wir Ihnen die häufigsten vor.

RedLine

RedLine ist einer der weltweit am häufigsten eingesetzten Infostealer. Der erstmals 2020 beobachtete Schädling zielt auf das Windows-Betriebssystem ab. Er wird in der Regel im Untergrund über russische Malware-Foren gehandelt, wo er als Einzelversion oder im Abonnement gekauft werden kann.

RedLine versucht die unterschiedlichsten Daten vom Gerät des Opfers zu sammeln, etwa von Internetbrowsern, FTP-Clients, Sofortnachrichtendiensten, Wallets für Kryptowährung, VPN-Diensten oder Gaming-Clients. Sobald das Tool eine Verbindung mit dem externen Steuerserver hergestellt hat, lassen sich darüber weitere Funktionen ausführen, wie das Herunterladen von Dateien, das Ausführen von portablen Dateien oder von Anfragen per CMD.exe und vieles mehr.

Raccoon Stealer

Racoon Stealer tauchte erstmals 2019 auf der Bildfläche auf und extrahiert Daten zu Krypto-Wallets, Browser-Cookies, Kennwörtern, Informationen zum automatischen Ausfüllen von Formularen sowie Kreditkartendaten. Er wird als MaaS betrieben und in erster Linie über Phishing-Kampagnen und Exploit-Kits verbreitet. Der Betrieb von Racoon Stealer wurde im März 2022 eingestellt, möglicherweise aufgrund des Todes eines der verantwortlichen Entwickler, der im Krieg zwischen Russland und Ukraine ums Leben kam. Anfang Juli 2022 wurde jedoch eine neue Version der Malware veröffentlicht. Diese ist im Gegensatz zu den Vorgängerversionen, die in C++ geschrieben worden waren, in C programmiert.

Interessanterweise sendet Raccoon Stealer Daten bei jedem neu gefundenen Element. Das ist im Gegensatz zu den konventionellen Praktiken der Datenexfiltration recht ungewöhnlich, denn normalerweise sammeln derartige Tools zunächst eine große Menge an Daten und verschicken diese dann im Paket, um das Risiko einer Entdeckung zu minimieren. Darüber hinaus setzt Raccoon Stealer 2.0 auch keine Obfuskationstechniken ein, um sich zu verstecken oder nicht analysiert werden zu können. Den Entwicklern scheint es folglich eher um Geschwindigkeit als um Raffinesse zu gehen.

Vidar

Der ebenfalls häufig vorkommende Infostealer Vidar kann eine Reihe von vertraulichen Daten stehlen, wie Bank- und Anmeldedaten, IP-Adressen, Browserverläufe und Krypto-Wallets. Als Ableger der Arkei-Malware-Familie wurde Vidar erstmals 2018 beobachtet. Seither gehört er zu einem der beliebtesten Infostealer, da er leicht einzusetzen ist, ständig weiterentwickelt wird und über aktive Support-Kanäle verfügt. Angreifer können Vidar außerdem individuell darauf konfigurieren, welche Daten gestohlen werden sollen.

Fazit

Infostealer sind in der Lage, eine Vielzahl von vertraulichen Informationen zu stehlen, die die Kriminellen dann verkaufen oder für weitere Angriffe nutzen können. Sie werden in der Regel über Spam, Malvertising, kompromittierte Konten und Raubkopien verbreitet. Indem Sie stets genau überlegen, worauf Sie klicken, Ihren Browser immer auf dem neuesten Stand halten und MFA nutzen, können Sie das Risiko einer Infektion sowie die Auswirkungen eines Angriffs minimieren.

Übersetzung: Doreen Schäfer