Infostealer erkennen, verstehen und abwehren

12. Oktober, 2023

Infostealer sind eine perfide Form von Malware, die in den letzten Jahren an Bedeutung gewonnen hat. Ihr Ziel ist es, vertrauliche Informationen von infizierten Systemen zu stehlen. Dabei handelt es sich häufig um Zugangsdaten, Kreditkarteninformationen, persönliche Identifikationsdaten und andere sensible Informationen, die von den Angreifenden für kriminelle Zwecke verwendet werden können.

Im Visier der Kriminellen stehen sowohl Privatpersonen als auch Organisationen. Jedes System, das über wertvolle Informationen verfügt, kann potenziell zum Ziel von Infostealer-Angriffen werden.

Bekannte Angriffe mit Infostealern

Infostealer operieren in der Regel im Hintergrund und arbeiten heimlich, um die gestohlenen Informationen an die Angreifer weiterzuleiten. Einige Angriffe, an denen Infostealer beteiligt waren, haben es jedoch zu einiger Berühmtheit gebracht.

Emotet war eine der größten und gefährlichsten Malware-Bedrohungen der letzten Jahre. Dabei handelt es sich um einen modular aufgebauten Trojaner, der auch Infostealing-Funktionen enthält. Emotet wurde erstmals im Jahr 2014 entdeckt und für verschiedene Arten von Angriffen verwendet, darunter Lösegeldforderungen, den Diebstahl von Zugangsdaten und den Versand von Spam-Mails.

Auch TrickBot, eine vielseitige Malware, die als Banking-Trojaner begann und sich im Laufe der Zeit zu einem großen Botnetz entwickelte, verfügt unter anderem über Infostealing-Funktionen, um vertrauliche Informationen zu sammeln.

Wie arbeiten Infostealer?

Die Entwicklung von Infostealern hat sich über mehrere Jahre hinweg vollzogen. Erste Varianten wurden seit den späten 1990er Jahren entdeckt, ihre Funktionalität wurde kontinuierlich erweitert. Sie nutzen verschiedene Techniken, um vertrauliche Informationen zu sammeln:

  • Keylogging: Infostealer können Tastatureingaben aufzeichnen, um Benutzernamen, Passwörter und andere sensible Informationen abzugreifen.
  • Screenshots: Einige Infostealer sind in der Lage, Bildschirmfotos aufzunehmen, um Informationen von Online-Banking-Transaktionen oder anderen vertraulichen Aktivitäten zu erfassen.
  • Datenbankzugriff: Infostealer können sich Zugang zu Datenbanken verschaffen, um dort gespeicherte Informationen zu stehlen.
  • E-Mail-Hijacking: Infostealer können E-Mails abfangen und lesen, um vertrauliche Informationen wie Bankdaten oder Geschäftsgeheimnisse zu extrahieren.

Ziele und Einsatzzwecke von Infostealern

Die gestohlenen Informationen können vielseitig genutzt werden:

  • Identitätsdiebstahl: Durch den Diebstahl persönlicher Identifikationsdaten können Angreifer Identitäten stehlen und diese für betrügerische Aktivitäten oder den illegalen Zugriff auf Finanzkonten nutzen.
  • Finanzielle Ausbeutung: Infostealer werden oft verwendet, um Zugangsdaten zu Online-Banking-Konten, Kreditkartendaten oder anderen finanziellen Informationen zu stehlen. Die Angreifer können diese Informationen nutzen, um Geld von den betroffenen Konten abzuheben oder betrügerische Transaktionen durchzuführen.
  • Industriespionage: Infostealer können gezielt eingesetzt werden, um Unternehmensgeheimnisse und vertrauliche Informationen von Unternehmen oder Regierungsbehörden zu stehlen. Diese gestohlenen Informationen können dann für Wettbewerbsvorteile oder politische Zwecke genutzt werden.
  • Erpressung: In einigen Fällen verwenden Angreifer Infostealer, um sensible Daten wie persönliche Fotos, private Korrespondenz oder sensible Unternehmensdaten zu stehlen. Anschließend erpressen sie die Opfer, indem sie mit der Veröffentlichung dieser Informationen drohen, wenn kein Lösegeld gezahlt wird.

Infostealer erkennen und abwehren

Um Infostealer erkennen und abwehren zu können, müssen sich Organisationen und Benutzer der Risiken bewusst sein und geeignete Sicherheitsmaßnahmen ergreifen. Dazu gehören regelmäßige Aktualisierungen von Betriebssystemen und Anwendungen, zuverlässige Antiviren- und Sicherheitslösungen, sichere Passwortrichtlinien und Schulungen zur Sensibilisierung für Phishing-Angriffe.

Darüber hinaus ist es wichtig, auf verdächtige Aktivitäten und ungewöhnliches Verhalten zu achten, um eine mögliche Infektion durch Infostealer frühzeitig erkennen und bekämpfen zu können. Hier sind einige Anzeichen, auf die man achten sollte:

  • Langsamere Systemleistung: Infostealer können (wie auch andere Malware) die Systemressourcen belasten und die allgemeine Computerleistung verlangsamen. Wenn Ihr Computer plötzlich deutlich langsamer wird, könnte dies ein Hinweis auf eine Infektion sein.
  • Unerklärliche Netzwerkaktivität: Infostealer müssen die gestohlenen Informationen an die Angreifer übertragen. Dies führt oft zu einer erhöhten Netzwerkaktivität auf dem Computer. Wenn Sie feststellen, dass Ihre Netzwerkaktivität ohne ersichtlichen Grund hoch ist, kann das auf einen Infostealer hinweisen.
  • Änderungen an Dateien oder Systemeinstellungen: Infostealer können Dateien und Systemeinstellungen modifizieren, um ihre Präsenz zu verschleiern oder ihre Funktionalität zu erweitern. Wenn Sie ungewöhnliche Änderungen an Ihren Dateien oder Systemeinstellungen bemerken, insbesondere im Zusammenhang mit Sicherheitssoftware oder Firewall-Einstellungen, sollten Sie dies genauer untersuchen.
  • Fehlende oder veränderte Sicherheitsprogramme: Einige Infostealer können versuchen, Antiviren- und Sicherheitsprogramme zu deaktivieren oder zu umgehen, um unentdeckt zu bleiben. Überprüfen Sie regelmäßig, ob Ihre Sicherheitssoftware ordnungsgemäß funktioniert und auf dem neuesten Stand ist.
  • Unbekannte Prozesse oder Dienste: Überwachen Sie Ihre laufenden Prozesse und Dienste auf unbekannte oder verdächtige Einträge. Infostealer können sich als legitime Prozesse tarnen, daher ist es wichtig, verdächtige Aktivitäten zu überprüfen und zu untersuchen.
  • Unerklärliche Pop-ups oder Werbung: Infostealer können Pop-ups oder unerwünschte Werbung anzeigen, um den Benutzer abzulenken oder zu betrügen. Wenn Sie ungewöhnliche Pop-up-Fenster oder Anzeigen bemerken, insbesondere in Zusammenhang mit sicherheitsrelevanten Themen, sollten Sie vorsichtig sein.

Die genannten Beispiele weisen nicht immer auf einen Infostealer hin, es kann auch andere Ursachen geben. Wenn Sie jedoch mehrere dieser Anzeichen bemerken, empfehlen wir, Ihr System mithilfe von zuverlässiger Antiviren-Software oder IT-Security-Expert*innen auf mögliche Infektionen zu überprüfen.

Das könnte Sie auch interessieren:

Was ist Wiper-Schadsoftware und woran erkennt man sie?
IoT-Botnet-Angriffe verhindern
Location Tracking: Risiken durch Standortdaten

HarfangLab Guard
MITRE ATT&CK Framework
v.l.n.r.: Joe Pichlmayr (CEO IKARUS) – Anouck Teiller (CSO HarfangLab) –Alexander van der Bellen (Bundespräsident Österreich) - Frédéric Joureau (Erster Botschaftsrat der französischen Botschaft in Wien) – Christian Fritz (COO IKARUS)
EDR
Cyber Kill Chain
Business Email Compromise
Prognosen für die zehn größten Cybersecurity-Bedrohungen für 2030
E-Mail Verschlüsselung
Schritt für Schritt zum Notfallplan für IT-Security-Incidents
Account Management
Bedrohung
Frühzeitige Erkennung von Cybergefahren
Gefahren durch vertrauenswürdige Services
Threat Intelligence
SQL Injection
SMTP Smuggling

WIR FREUEN UNS AUF SIE!

IKARUS Security Software GmbH
Blechturmgasse 11
1050 Wien

Telefon: +43 1 58995-0
Sales Hotline: +43 1 58995-500
sales@ikarus.at

SUPPORT-HOTLINE:

Support-Infoseite

Support-Hotline:
+43 1 58995-400
support@ikarus.at

Support-Zeiten:
Mo bis Do: 8.00 – 17.00 Uhr
Fr: 8.00 – 15.00 Uhr
24/7 Support nach Vereinbarung

Fernwartung:
AnyDesk Download