Phishing hat sich gewandelt. Langsam, aber sicher wenden sich Cyberkriminelle stattdessen Infostealern zu.
Das klassische Phishing ist noch lange nicht verschwunden. Ganz im Gegenteil. Doch viele Angreifer konzentrieren sich nicht mehr ausschließlich darauf, ihre Opfer dazu zu verleiten, Benutzernamen und Passwörter auf gefälschten Anmeldeseiten einzugeben. Stattdessen nutzen sie Infostealer, um heimlich Passwörter, Cookies, Browserdaten und andere sensible Informationen von infizierten Geräten zu sammeln.
Dieser Ansatz ist attraktiv, da er gut skalierbar ist und Reibungsverluste verringert. Anstatt darauf angewiesen zu sein, dass das Opfer seine Anmeldedaten auf einer gefälschten Website eingibt, kann die Malware bereits im Browser gespeicherte Anmeldedaten, Sitzungstoken, Daten aus der automatischen Ausfüllfunktion, Angaben zu Kryptowährungs-Wallets und sogar Dateien mit nützlichen Informationen abgreifen.
Dadurch wird die Angriffskette weniger auffällig. Eine herkömmliche Phishing-E-Mail hinterlässt oft offensichtliche Hinweise: einen verdächtigen Link, eine gefälschte Anmeldeseite oder einen seltsamen Anhang. Infostealer verhalten sich anders. Sie können über bösartige Online-Werbung (Malvertising), geknackte Software, gefälschte Browser-Updates, Spiel-Cheats oder dubiose Download-Seiten auf das Gerät gelangen und arbeiten nach der Installation im Hintergrund, um alle auf dem Gerät des Opfers gespeicherten Daten zu stehlen.
Ein Teil dieses Wandels könnte auf die weitverbreitete Einführung der Multi-Faktor-Authentifizierung (MFA) zurückzuführen sein. Durch das Stehlen von Sitzungs-Cookies können Cyberkriminelle die MFA umgehen und so auf Konten zugreifen, ohne ein Passwort oder einen Authentifizierungscode zu benötigen.
Ein weiterer Faktor ist der Aufstieg des „Malware-as-a-Service“-Ökosystems (MaaS). Infostealer lassen sich kostengünstig einsetzen, leicht skalieren und sind äußerst profitabel. Anstatt selbst eine vollständige Angriffskette aufzubauen, erwerben viele Kriminelle den Zugang zu vorgefertigten Stealer-Kits, Loadern oder Initial-Access-Diensten von Anbietern im Untergrund. Dies senkt die Eintrittsbarriere und ermöglicht es auch weniger erfahrenen Angreifern, Operationen zum Diebstahl von Zugangsdaten durchzuführen.
In vielen Fällen sind Infostealer nur die erste Stufe einer größeren kriminellen Operation. Die gestohlenen Daten werden gesammelt, aufbereitet und an andere Kriminelle verkauft, die an den erbeuteten Informationen interessiert sind. Diese Käufer können sich auf Betrug, Kontoübernahmen, Business-E-Mail-Compromise oder Ransomware spezialisiert haben. Ein einziger infizierter Rechner kann mehrere Einnahmequellen erschließen: Anmeldedaten für einen Käufer, Sitzungscookies für einen anderen und Unternehmenszugangsdaten oder Wallet-Daten für einen dritten.
Diese Arbeitsteilung ist ein Grund dafür, dass Infostealer so hartnäckig geworden sind. Die Betreiber können ihren Code aktualisieren, die Infrastruktur wechseln und mit minimalem Aufwand neue Kampagnen starten, während die Partner die Verbreitung über Phishing, Malvertising, gefälschte Downloads oder Köder in sozialen Medien übernehmen.
Wie man sicher bleibt
Da Infostealer häufig über Malvertising, gefälschte Browser-Updates und Ein-Klick-Downloads verbreitet werden, lohnt es sich, Anzeigen und Pop-ups mit gesunder Skepsis zu begegnen. Mein persönlicher Tipp: Klicken Sie niemals auf gesponserte Anzeigen. Besuchen Sie stattdessen direkt die offiziellen Websites und laden Sie Software nur aus vertrauenswürdigen Quellen herunter, wie beispielsweise den offiziellen Seiten der Anbieter oder App-Stores.
Eine weitere Technik, die immer mehr an Beliebtheit gewinnt, ist „ClickFix“ – eine Social-Engineering-Attacke, bei der Nutzer dazu verleitet werden, ihre eigenen Geräte zu infizieren. Führen Sie niemals Befehle oder Skripte aus, die Sie von Websites, E-Mails oder Nachrichten kopiert haben, es sei denn, Sie vertrauen der Quelle und verstehen den Zweck der Aktion. Wenn Sie auf einer Website aufgefordert werden, einen Befehl auszuführen oder eine technische Aktion durchzuführen, sollten Sie zunächst die offizielle Dokumentation prüfen oder den Support kontaktieren, bevor Sie fortfahren.
Hast du etwas mitgenommen, das du besser nicht hättest mitnehmen sollen?
Raubkopierte Software, Spiel-Cheats und geknackte Tools gehören nach wie vor zu den häufigsten Verbreitungswegen für Infostealer. Diese Downloads sind oft mit Malware gebündelt, die sich zusammen mit der eigentlich gewünschten Software installiert. Die gleiche Vorsicht ist bei vielen Browser-Erweiterungen und Add-ons geboten, die zusätzliche Funktionen oder mehr Komfort versprechen. Halten Sie sich an Erweiterungen von seriösen Entwicklern, prüfen Sie Bewertungen und Berechtigungen sorgfältig und vermeiden Sie die Installation von Add-ons, die mehr Zugriffsrechte verlangen, als sie plausiblerweise benötigen.
Phishing-E-Mails stellen nach wie vor eine große Gefahr dar, doch viele lassen sich erkennen, wenn man sich Zeit nimmt und die Angaben überprüft, bevor man darauf klickt. Selbst wenn eine E-Mail so aussieht, als stamme sie von einer vertrauenswürdigen Marke, sollten Sie unaufgeforderte Anhänge und Links mit Vorsicht behandeln, insbesondere wenn Sie dazu aufgefordert werden, eine Datei zu öffnen, dringend etwas zu installieren oder ein Abrechnungsproblem zu beheben. Wenn Sie sich unsicher sind, überprüfen Sie die Absenderadresse, achten Sie auf Tippfehler oder seltsame Formulierungen und bestätigen Sie die Anfrage über einen separaten Kanal, wie beispielsweise die offizielle Website des Unternehmens, anstatt über den Link in der E-Mail.
Wir berichten nicht nur über Bedrohungen - wir beseitigen sie
Cybersecurity-Risiken sollten nie über eine Schlagzeile hinausgehen. Laden Sie noch heute Malwarebytes herunter, um Bedrohungen von Ihren Geräten fernzuhalten.
