Was ist ein Infostealer?

Bei Infostealern handelt es sich erst einmal um nichts anderes als Malware. Infostealer können kleine selbstständige Programme oder Teil einer komplexen Malware sein. Ihr einziges Ziel ist das Sammeln von "interessanten" Daten - und das möglichst unauffällig. Infostealer können diverse Formen annehmen. Die bekannte ist eben die kleine Datei, die irgendwo auf dem PC installiert wurde. Ein anderes Beispiel sind Browser-Plugins, die ebenfalls in der Lage sind, bestimmte Daten zu sammeln.

Warum sind Infostealer so gefährlich?

Sie sind so gefährlich, weil sie relativ unscheinbar sind. Infostealer sind im Vergleich zu vielen Malwares klein und unauffällig. Sie haben keine große breite komplexer Funktionen. Man kann sie oft im Rahmen von Supply Chain Attacks oder anderweitig in bestehende Programme einbauen. Das macht das Finden und Erkennen von Infostealern schwierig. Nicht selten bleiben Infostealer Monate oder Jahre unentdeckt und sammeln stetig und meist sehr fleißig Daten.

Funktionsweise von Infostealern

Die meisten Infostealer arbeiten ganz ähnlich. Sie haben einige grundlegende Funktionen:

  1. Keylogger-Funktionalität:
    Sie sind in der Lage alles, was man in die Tastatur eintippt, aufzuzeichnen.
  2. Screenshot-Funktionalität:
    Sie sind in der Lage Screenshots zu machen - meist passiert das, wenn eine bestimmte Aktivität erkannt wird.
  3. Datenbank-Funktionalität:
    Diverse Software speichert wertvolle Informationen in Datenbanken, oft SQLite. Infostealer sind in der Lage, diese Datenbanken zu finden und zu kopieren.
  4. E-Mail-Zugang:
    Sie sind in der Lage einzelne E-Mails oder ganze Postfächer zu kopieren.
  5. Datenexfiltration:
    Wurden interessante Daten gefunden, werden sie an den Angreifer übermittelt - hier wird oft auf verschlüsselte Kanäle gesetzt. Weitere Regeln und Kreativität seitens der Entwickler sorgen dafür, dass die Datenübertragung dem Nutzer nicht so schnell auffallen.

Welche Daten sammeln Infostealer?

Spezialisierte Infostealer sammeln oft sehr spezifische Daten - so beispielsweise Excel-Tabellen, Word-Dokumente. Der Kontext hier ist oft Wirtschaftsspionage. Auch Kreditkarteninformationen oder allgemein alles, was mit Finanzen (Logins, Transaktionsdetails, TAN, ...) zu tun hat, sind beliebte Ziele.

Dank Keyword- und Datenbank-Funktionalität können die meisten Keylogger Zugangsdaten zu bestimmten Diensten herausfiltern. Das Extrahieren von Sessions und Cookies ist ebenfalls eine beliebte Methode, um später auf die Konten zuzugreifen. Meist werden hier ganze Datenbanken von Browsern an die Angreifer übersendet.

Selten aber durchaus bekannt sind Infostealer, die sich auf kompromittierende Fotos und Videos spezialisiert haben. Hintergrund hier ist oft irgendeine Art von Erpressung.

Wie verbreiten sich Infostealer?

Die Entwickler solcher Malware sind oft sehr kreativ und nutzen beispielsweise Malware as a Service/Cybercrime as a Service um ihre kleinen Softwarepakete an Opfer zu verteilen. Hierbei wird der Infostealer z.B. nachgeladen, weil das Opfer schon mit irgendeiner anderen Malware infiziert ist. Automatisierte und großflächige Phishing-Angriffe, die den Nutzer dazu bringen ein bestimmtes Programm zu installieren, sieht man ebenfalls häufig. Seltener sind Supply Chain Attacks, bei denen der Infostealer in bestehende Software eingebaut wird - doch auch sie kommen vor. Im Endeffekt kann es gut sein, dass man eine bekannte und eigentlich vertrauenswürdige Software installiert und dabei auch einen Infostealer mitgeliefert bekommt. Das erklärt den hohen Verbreitungsgrad von Infostealern.

Was passiert mit den gestohlenen Daten?

Es kommt darauf an, welche Art von Daten gestohlen wurden. In der Regel werden sie irgendwo verarbeitet und/oder gesichtet und dann entsprechend ausgenutzt. Oft findet man solche Daten im Darknet wieder und kann diese kaufen. Wenn es um Log-Dateien von Browsern und Session-Daten geht, muss man heutzutage nicht mal mehr ins Darknet. Telegram ist eine gute Quelle um teilweise kostenlos an diese Daten zu kommen. Das Github Repository deepdarkCTI bietet eine breite Übersicht, wie man an diese Daten kommt. Der Titel dieses Repositories ist "Collection of Cyber Threat Intelligence sources from the Deep and Dark Web" - hier bekommt man weitere Informationen. Wenn es um das Thema Logs geht, muss man beispielsweise nur bestimmte Telegram-Kanäle abonnieren. Dort wird man entweder aufgefordert, Daten zu kaufen oder bekommt sie sogar umsonst. In letzterem Fall handelt es sich meist um etwas andere Daten - sowie Rohdaten. Das bedeutet, dass man diese Daten meist noch aufbereiten muss.

Im Rahmen von Ethical Hacking, Penetrationstests und Bug Bounty Hunting (soweit es der Scope hergibt) werden solche Daten für legale Zwecke gekauft. Der passende Begriff hierbei ist Threat Intelligence. Man versucht diese Daten schneller zu sichten, als es Blackhats tun und so die betroffenen Parteien zu warnen.

Wie kann man sich vor Infostealern schützen?

Skeptisch sein. Man sollte jede E-Mail, jede Nachricht, jedes Programm, das man bekommt bzw. installieren soll, hinterfragen. Das ist einfacher geschrieben als in der Realität - vor allem für Laien - umgesetzt. Phishing-Übungen sind sicherlich ein guter Anfang, um das Thema Phishing zu verstehen und ein gewisses Gespür dafür zu entwickeln. Im Unternehmen sollte es Software-Lösungen geben, die verhindern können, dass Infostealer installiert werden (auch das ist einfacher gesagt, als getan). Antivirensoftware ist Pflicht. Gute Netzwerksegmentierung und sinnvoll eingestellte Firewall können oft verhindern, dass Daten exfiltriert werden können. Und wie immer gilt: System up to date halten, Programme up to date halten!

Auch wenn es wenig praktikabel ist, lohnt sich der Einsatz eines eigenen Notebooks für sensible Daten und Logins - vor allem für Privatpersonen. Auf diesem Notebook sollte es keinen E-Mail-Verkehr geben, es sollten keine Software installiert werden - außer ein Browser, ein Antivirenprogramm und im besten Fall noch ein gescheiter Passwortmanager. Wir sind uns im klaren, dass so etwas in der Praxis schwer umsetzbar ist - vor allem in Unternehmen - aber es ist ein guter Ansatz, um sich vor Infostealern zu schützen.

Mehr Informationsmaterial

Vielen Dank für dein Feedback! Wir werden es prüfen und unseren Artikel anpassen.

Hast du Feedback zum Thema Infostealer? Schreib uns!

Damian Strobel
Mit Hilfe von Darknet Intelligence können wir das Darknet nach Ihren Daten durchsuchen und rechtzeitig reagieren.