Was ist ein Infostealer? Wie Malware zum Diebstahl von Zugangsdaten funktioniert

Was ist ein Infostealer?

Ein kompromittiertes Auftragnehmer-Laptop ohne Endpunktschutz hat Anmeldedaten für eine Cloud-Datenplattform offengelegt, und die Angreifer mussten kein einziges Passwort knacken. Das ist das Infostealer-Problem in einem Satz.

Ein Infostealer ist eine Kategorie von Malware, die darauf ausgelegt ist, sensible Daten heimlich von infizierten Systemen zu extrahieren, darunter gespeicherte Passwörter, Sitzungscookies, Kryptowallet-Dateien und Browser-Autofill-Daten. Ein Infostealer arbeitet lautlos: Er wird ausgeführt, sammelt Daten, exfiltriert sie und beendet sich schnell. Die gestohlenen Daten werden in strukturierte Archive, sogenannte Stealer-Logs, zusammengefasst und dann auf Untergrundmärkten verkauft, wo andere Kriminelle sie für Folgeangriffe erwerben.

Der ENISA-Bericht beschreibt Infostealer als „ein solides und weit verbreitetes Glied in der Lieferkette der Cyberkriminalität“, das in erster Linie Credential Theft, Session Hijacking und Access Brokering ermöglicht. Die gestohlenen Anmeldedaten werden zum Initialzugang für Ransomware-Operatoren, Business Email Compromise-Kampagnen und Account-Takeover-Betrug. Für Sie bedeutet das: Ein Infostealer-Vorfall erfordert Sitzungsinvalidation, Credential-Rotation und verhaltensbasierte Endpunktsicherheit – nicht nur Malware-Bereinigung.

Infostealer befinden sich an der Schnittstelle von Identity Security und Endpunktschutz. Sie zielen auf die Anmeldedaten, die Ihre Nutzer in Browsern speichern, auf die Sitzungstoken, die den Abschluss von MFA belegen, und auf die API-Schlüssel, die Entwickler in lokalen Dateien hinterlassen. Der Verizon DBIR stellt einen Zusammenhang zwischen Credential Abuse und Initialzugang her und weist auf Überschneidungen zwischen Ransomware-Opfern und Infostealer-Credential-Dumps hin.

Für Ihr SOC ändert ein Infostealer-Fund das Bedrohungsmodell sofort. Es handelt sich nicht um einen isolierten Endpunktvorfall. Es ist ein Vorläufer für Account-Takeover, laterale Bewegung und potenziell Ransomware-Einsatz durch einen völlig anderen Akteur. Zu verstehen, was dies ermöglicht, beginnt mit dem Aufbau von Infostealern.

Kernkomponenten eines Infostealers

Moderne Infostealer verfügen über eine konsistente Architektur, die auf fünf funktionalen Komponenten basiert:

1. Verteilungsmechanismus: Phishing-E-Mails, Malvertising-Kampagnen, trojanisierte Software und ClickFix/fake CAPTCHA-Angriffe, die Nutzer dazu verleiten, Befehle über Windows Run oder PowerShell auszuführen. Lumma Stealer-Kampagnen nutzen beispielsweise gefälschte CAPTCHA-Seiten, die Opfer anweisen, Befehle über den Windows-Ausführen-Dialog zu kopieren und auszuführen.
2. Module zur Credential-Erfassung: Die Extraktion von Browser-Anmeldedaten zielt auf die SQLite Login Data-Datenbank in Chromium-Browsern ab und entschlüsselt Passwörter über AES-GCM oder die Windows DPAPI. Infostealer erfassen auch Anmeldedaten aus Passwortmanagern, E-Mail-Clients, VPN-Konfigurationen und Kryptowallets.
3. Sitzungstoken-Diebstahl: Das Sammeln von Cookies und Sitzungstoken ermöglicht es Angreifern, sich ohne Passwort oder MFA-Code als Sie zu authentifizieren. Das gestohlene Cookie dient als Nachweis, dass MFA bereits abgeschlossen wurde, und umgeht diese vollständig.
4. Datenstaging und Exfiltration: Gestohlene Daten werden in strukturierte Logs gepackt und an von Angreifern kontrollierte C2-Server, Telegram-Bots oder Cloud-Speicherdienste wie Dropbox übertragen. SentinelLabs-Bericht dokumentiert die Nutzung von Telegram-Infrastruktur zur Beschleunigung der Exfiltration und Optimierung des Verkaufsprozesses.
5. Anti-Analyse und Umgehung: VM/Sandbox-Erkennung, dateilose Ausführung aus dem Speicher, Prozessinjektion und File Padding, die darauf ausgelegt sind, Analysetools zum Absturz zu bringen. Diese Techniken entsprechen direkt  MITRE ATT&CK T1027 (Obfuscated Files or Information).

Der gesamte Betrieb basiert auf einem Malware-as-a-Service (MaaS)-Geschäftsmodell. Entwickler betreiben Webpanels, Payload-Builder und Kundensupport-Kanäle auf Telegram. Abonnenten führen dann eigenständige Kampagnen durch.

Wie Infostealer funktionieren

Ein Infostealer-Angriff folgt einer vorhersehbaren Kill Chain, aber jede Phase ist darauf ausgelegt, Ihr Zeitfenster zur Erkennung zu minimieren.

1. Phase 1: Initiale Ausführung. Das Payload gelangt über  Phishing, Malvertising oder Social Engineering auf das System. SentinelLabs-Forschung dokumentierte eine Kampagne, bei der Nutzer Archive mit einer signierten Kopie der Haihaisoft PDF Reader-Freeware-Anwendung und einer bösartigen DLL zum Sideloading herunterluden.
2. Phase 2: Credential-Erfassung. Die Malware zielt auf Browser-Credential-Datenbanken (T1555.003), führt SQL-Abfragen gegen die Chrome Login Data-Datei aus und entschlüsselt gespeicherte Passwörter. Katz Stealer dokumentiert eine besondere Technik: Die Malware startet Browser im Headless-Modus und injiziert eine spezialisierte DLL, um auf sensible Daten im Sicherheitskontext des Browsers zuzugreifen.
3. Phase 3: Sitzungstoken-Diebstahl. Der Infostealer kopiert authentifizierte Sitzungscookies (T1539), sodass Angreifer Ihre Nutzer in Webanwendungen imitieren können, in denen diese Sitzungen noch gültig sind. Einige Varianten stehlen auch andere Token, die helfen können, den Zugang zu regenerieren oder zu verlängern, sodass eine Passwortänderung den Angreiferzugang nicht sofort ungültig macht.
4. Phase 4: Ergänzende Sammlung. Keylogging (T1056), Überwachung der Zwischenablage auf Kryptowährungsadressen und Seed-Phrasen (T1115), Diebstahl von Kryptowallet-Dateien und System-Fingerprinting zur Opferprofilierung. SentinelLabs-Analyse dokumentiert, dass Vidar Standortdaten sammelt, um Bedrohungsakteuren die Bewertung des Systemwerts vor der Bereitstellung sekundärer Payloads wie Ransomware zu erleichtern.
5. Phase 5: Exfiltration und Exit. Daten werden über verschlüsselte Kanäle an C2-Infrastruktur übertragen, wobei häufig legitime Dienste missbraucht werden. Die Malware beendet sich dann sauber und hinterlässt minimale forensische Artefakte. Dieses nicht-persistente Ausführungsmodell ist eine bewusste Designentscheidung: Wenn Sie die Infektion entdecken, ist die Malware bereits verschwunden und die Anmeldedaten stehen schon zum Verkauf.

Warum Infostealer schwer zu stoppen sind

Mehrere Eigenschaften machen Infostealer besonders schwer abzuwehren.

• Das MaaS-Modell beseitigt die Kompetenzbarriere. Nicht-technische Betreiber können Credential-Theft-Tools über abonnementbasierte Dienste einsetzen. Selbst nach Eingriffen der Strafverfolgung bauen Betreiber oft schnell wieder auf und der Markt wechselt zu Ersatzfamilien.
• Sitzungstoken-Diebstahl macht MFA unzureichend. Infostealer stehlen Sitzungscookies als Hauptfunktion. MITRE ATT&CK dokumentiert, dass APT29, Scattered Spider, Star Blizzard und LAPSUS$ alle T1539 nutzen, um MFA zu umgehen. Passwortrotation nach einem Vorfall macht aktive Token, die sich bereits in Angreiferhänden befinden, nicht ungültig.
• Polymorphe Umgehung besiegt signaturbasierte Tools. Dateilose Ausführung, In-Memory-Staging und Prozessinjektion umgehen statische Abwehrmechanismen vollständig. Branchenberichte beschreiben eine Zunahme der Infostealer-Verbreitung über Phishing, teilweise durch den Einsatz von KI zur massenhaften Erstellung von Phishing-E-Mails.
• Missbrauch legitimer Plattformen schafft unblockbare Kanäle. Infostealer exfiltrieren über Telegram-APIs, Dropbox und GitHub. Sie können diese Dienste nicht blockieren, ohne den Geschäftsbetrieb zu beeinträchtigen, was Ihr Team zwingt, sich auf Verhaltensanalysen statt auf Netzwerkfilterung zu verlassen.

Diese Eigenschaften sind nicht auf ein einzelnes Tool beschränkt. Sie sind in einem wachsenden Ökosystem von Infostealer-Familien verbreitet, die auf Untergrundforen um Marktanteile konkurrieren.

Von Infostealern gestohlene Datentypen

Infostealer zielen auf eine bestimmte Auswahl an hochwertigen Datentypen ab, die jeweils eine andere Kategorie von Folgeangriffen ermöglichen.

1. Gespeicherte Passwörter und Browser-Autofill-Daten. Chromium- und Firefox-basierte Browser speichern Anmeldedaten in lokalen SQLite-Datenbanken. Infostealer greifen diese Datenbanken direkt ab, entschlüsseln die gespeicherten Passwörter über Betriebssystem-APIs und extrahieren Autofill-Einträge wie Adressen, Telefonnummern und Zahlungsdaten. Diese Anmeldedaten sind das Rohmaterial für Account-Takeover-Kampagnen und Credential-Stuffing-Angriffe in Unternehmens-SaaS-Umgebungen.
2. Sitzungscookies und Authentifizierungstoken. Aktive Sitzungscookies belegen, dass ein Nutzer die Authentifizierung, einschließlich MFA, bereits abgeschlossen hat. Gestohlene Cookies ermöglichen es Angreifern, diese Sitzungen ohne zusätzliche Authentifizierungsabfragen zu wiederholen. Das ist einer der Hauptgründe, warum Infostealer MFA so effektiv umgehen: Der Angreifer muss den Authentifizierungsprozess überhaupt nicht durchlaufen.
3. Kryptowallet-Dateien und Seed-Phrasen. Infostealer kopieren wallet.dat-Dateien, Browser-Extension-Daten von Wallets wie MetaMask und überwachen die Zwischenablage auf Seed-Phrasen und Wallet-Adressen. Kryptowährungsdiebstahl ist irreversibel, was diese Ziele für Angreifer auf Untergrundmärkten besonders wertvoll macht.
4. System-Fingerprints und Umgebungsdaten. Hostname, IP-Adresse, installierte Software, laufende Prozesse und Hardware-IDs helfen Angreifern, Opfer zu profilieren und zu bestimmen, welche gestohlenen Anmeldedaten zu hochwertigen Unternehmensumgebungen gehören. SentinelLabs-Analyse dokumentiert, dass Vidar Standortdaten sammelt, um Bedrohungsakteuren die Bewertung des Zielwerts vor der Bereitstellung sekundärer Payloads zu erleichtern.
5. E-Mail-Client- und Messaging-Anwendungsdaten. Lokal gespeicherte E-Mails, Chatprotokolle und Anwendungsanmeldedaten von Clients wie Outlook und Thunderbird erweitern den Zugriff des Angreifers über browsergespeicherte Daten hinaus. Gestohlene E-Mail-Zugangsdaten fließen direkt in Business Email Compromise-Operationen ein.
6. VPN- und RDP-Konfigurationen. Gespeicherte VPN-Profile und Remote-Desktop-Anmeldedaten bieten Netzwerkzugriff, der weit über einen einzelnen Endpunkt hinausgeht. Für Ransomware-Operatoren, die Stealer-Logs kaufen, gehören VPN-Zugangsdaten zu den wertvollsten Einträgen, da sie einen direkten Weg in Unternehmensnetzwerke bieten.

Die Bandbreite der von Infostealern angegriffenen Daten erklärt, warum so viele verschiedene Malware-Familien in diesem Bereich konkurrieren und jeweils für unterschiedliche Kombinationen dieser Datentypen optimieren.

Wichtige Infostealer-Familien

Das Infostealer-Ökosystem ist überfüllt und verändert sich schnell, da Eingriffe der Strafverfolgung Betreiber zu neuen Tools treiben. Diese Familien stellen die am besten dokumentierten Bedrohungen für Windows und macOS dar.

Windows-Infostealer

macOS-Infostealer

Die macOS-Infostealer-Landschaft hat sich 2024 rasant erweitert. SentinelLabs-Forschung dokumentiert Familien wie Amos Atomic, Banshee Stealer, Cuckoo Stealer und Poseidon, die alle auf Keychain-Anmeldedaten, Browserdaten und Kryptowallets abzielen. Diese Familien nutzen AppleScript, um Passwortdialoge zu fälschen und Nutzer zur Eingabe von Zugangsdaten zu verleiten, wodurch die Malware Zugriff auf den Schlüsselbund und alle gespeicherten Passwörter des Systems erhält.

Unabhängig von Familie oder Plattform folgen die gestohlenen Anmeldedaten demselben Weg: in Untergrundmärkte und häufig in die Hände von Ransomware-Operatoren.

Die Infostealer-zu-Ransomware-Pipeline

Die Verbindung zwischen Infostealern und  Ransomware ist durch mehrere unabhängige Quellen gut dokumentiert. Infostealer dienen als erste Stufe in einer zweiphasigen Angriffskette. Das  SANS Institute dokumentiert, dass Ransomware-Bedrohungsakteure „typischerweise über durch Infostealer-Malware gestohlene Anmeldedaten eindringen, wobei Initial Access Broker als Vermittler zwischen Infostealer-Betreibern und Ransomware-Gruppen fungieren.“

Die operative Lücke zwischen Infostealer-Infektion und Ransomware-Bereitstellung kann einen erheblichen Zeitraum umfassen, in dem unbemerkte laterale Bewegung stattfindet. Einen Infostealer-Fund als Low-Severity-Endpunkt-Ereignis zu behandeln, ist ein teurer Fehler. Jeder Infostealer-Fund sollte Ransomware-Precursor-Protokolle auslösen, einschließlich vollständiger Credential-Scope-Bewertung, Jagd nach lateraler Bewegung und vorgefertigter Containment-Playbooks.

Die effektive Umsetzung dieser Protokolle erfordert das Verständnis, warum Infostealer für herkömmliche Sicherheitstools so schwer zu erkennen sind.

Warum Infostealer traditionelle Abwehrmaßnahmen umgehen

Infostealer stellen spezifische strukturelle Herausforderungen dar, die sie schwerer zu stoppen machen als viele andere Malware-Kategorien.

• Verschlüsselte Exfiltration vermischt sich mit normalem Traffic. Gestohlene Daten werden über HTTPS an legitime Cloud-Dienste übertragen. Einige Varianten teilen Archive in Teile auf, um DLP-Tools zu umgehen, die auf große Einzeldateiübertragungen ausgelegt sind. Ihr Netzwerksicherheits-Stack sieht aus wie normaler verschlüsselter Webverkehr.
• Kurze Ausführungsfenster hinterlassen minimale forensische Spuren. Nicht-persistente Infostealer schreiben kaum oder gar nichts dauerhaft auf die Festplatte. Speicherartefakte werden überschrieben. Sie untersuchen Netzwerk-Telemetrie und Credential-Nutzungsprotokolle statt Endpunkt-Artefakte, weil sich die Malware selbst entfernt hat, bevor Ihr Team sie bemerkt hat.
• Credential-API-Hooking fängt Anmeldedaten in legitimen Prozessen ab. MITRE ATT&CK T1056.001 dokumentiert Credential-API-Hooking, das Anmeldedaten im Kontext legitimer Prozesse abfängt, wodurch bösartiges Verhalten auf Prozessebene schwer von normalem Anwendungsbetrieb zu unterscheiden ist.
• Der BYOD-Blindspot ist strukturell. Der  Verizon DBIR stellt fest, dass viele kompromittierte Systeme mit Unternehmens-Logins in Infostealer-Logs nicht verwaltete Geräte waren. Der Snowflake-Breach zeigte dies direkt: SANS-Forschung bestätigte, dass persönliche Laptops von Drittanbietern ohne Antivirus oder EDR genutzt wurden und für private Aktivitäten einschließlich der Ausführung raubkopierter Software verwendet wurden.

Diese Umgehungsvorteile bedeuten, dass das Auffinden einer Infostealer-Infektion oft davon abhängt, deren Auswirkungen zu erkennen – nicht die Malware selbst.

Wie man eine Infostealer-Infektion erkennt

Da Infostealer darauf ausgelegt sind, schnell auszuführen und zu beenden, beruht die Erkennung einer Infektion darauf, die nachgelagerten Auswirkungen des Credential-Diebstahls zu erkennen, statt die Malware selbst zu erwischen. Auf diese Indikatoren sollte Ihr Team achten:

• Unternehmensanmeldedaten tauchen auf Darknet-Marktplätzen auf. Stealer-Logs erscheinen auf Märkten wie Russian Market innerhalb von Stunden nach dem Diebstahl. Kontinuierliches Monitoring auf exponierte Unternehmens-E-Mail- und Domain-Anmeldedaten bietet die früheste Warnung, dass ein Infostealer einen Ihrer Nutzer kompromittiert hat.
• Anomale Sitzungsaktivität in SaaS- und Cloud-Anwendungen. Logins aus unerwarteten Geolokationen, neue Geräte-Fingerprints oder gleichzeitige Sitzungen aus verschiedenen Regionen deuten darauf hin, dass gestohlene Sitzungstoken wiederverwendet werden. Die Korrelation von  Identity-Telemetrie mit Endpunktdaten hilft, legitime Reisen von Token-Replay zu unterscheiden.
• Browser-Prozesse starten mit ungewöhnlichen Flags. Infostealer hooken Browser-Prozesse über Remote-Debugging-Ports oder Headless-Modus. Alarme auf Browser, die mit --remote-debugging-port oder --headless flags von nicht standardmäßigen Parent-Prozessen gestartet werden, sind ein zuverlässiger Indikator.
• Unerwartete ausgehende Verbindungen zu Telegram-APIs oder Cloud-Speicher. Exfiltration zu api.telegram.org, Dropbox oder GitHub von Endpunkten, die diese Dienste normalerweise nicht nutzen, ist ein starker Verhaltensindikator, insbesondere in Kombination mit Archiv-Erstellung oder Datenstaging-Aktivitäten.
• Credential-Zugriffsmuster in EDR-Telemetrie. MITRE ATT&CK T1555.003 (Credentials from Web Browsers) und  T1539 (Steal Web Session Cookie) erzeugen identifizierbare Telemetrie, wenn Prozesse außerhalb des Browsers auf Credential-Datenbanken oder Cookie-Stores zugreifen.

Eine frühzeitige Identifikation hängt davon ab, diese Signale über Endpunkt-, Identitäts- und Netzwerkebene hinweg zu korrelieren, statt sich auf einen einzelnen Indikator zu verlassen.

Häufige Fehler bei der Verteidigung gegen Infostealer

Selbst Organisationen mit ausgereiften Sicherheitsprogrammen machen vermeidbare Fehler bei der Reaktion auf Infostealer-Vorfälle.

• Infostealer-Funde als isolierte Endpunktvorfälle behandeln. Wenn Sie die Infektion entdecken, befinden sich die gestohlenen Anmeldedaten möglicherweise bereits bei einem separaten Access Broker mit anderem Zeitplan. Eine Endpunktbereinigung ohne Credential-Invalidation und  Jagd nach lateraler Bewegung lässt den nachgelagerten Angriffsweg weit offen.
• Sich allein auf Passwortrotation verlassen. Passwortänderungen machen aktive Sitzungstoken nicht ungültig. Wenn ein Infostealer authentifizierte Cookies erfasst hat, besitzt der Angreifer weiterhin gültige Sitzungen – unabhängig vom neuen Passwort. Sie benötigen eine aktive Sitzungsinvalidation für alle betroffenen Konten.
• Darknet-Credential-Monitoring ignorieren. Gestohlene Anmeldedaten erscheinen kurz nach dem Diebstahl auf Märkten wie Russian Market. Organisationen, die nicht auf exponierte Unternehmensanmeldedaten überwachen, verlieren das Zeitfenster zwischen Diebstahl und Ausnutzung durch einen nachgelagerten Akteur.
• Den Browser als primäre Angriffsfläche vernachlässigen. CISA Advisory dokumentiert, dass Raccoon Stealer und Vidar Login-Daten, Browserverlauf und Cookies direkt aus Browsern stehlen. Der Browser ist gleichzeitig Ihr primärer Credential-Store und Ihr primäres Session-Token-Repository für Cloud-Anwendungen, dennoch erfassen die meisten Unternehmen keine Browser-Telemetrie.
• EDR-Abdeckung für Auftragnehmer- und Entwicklergeräte auslassen. Entwicklerarbeitsplätze haben Zugriff auf Produktionsgeheimnisse, Deployment-Credentials und Code-Signing-Infrastruktur, werden aber weniger überwacht als Produktionsserver. Die Ausweitung des Endpunktschutzes auf diese Umgebungen schließt eine der am häufigsten ausgenutzten Lücken.

Diese Fehler zu vermeiden ist notwendig, aber nicht ausreichend. Eine strukturierte Verteidigungsstrategie muss die gesamte Infostealer-Kill-Chain adressieren.

Best Practices zur Verteidigung gegen Infostealer

Eine mehrschichtige Verteidigungsstrategie adressiert die Infostealer-Kill-Chain auf mehreren Ebenen – vom Initialzugang bis zur Exfiltration.

1. Setzen Sie phishing-resistente Authentifizierung ein. FIDO2/Passkey-Implementierungen erzeugen pro Dienst eindeutige kryptografische Anmeldedaten, und private Schlüssel verlassen das Nutzergerät nie. Wie  passwordless auth erklärt, führt ein Einbruch in einen Dienst zu keinen anderweitig nutzbaren Anmeldedaten, da es keine geteilten Passwortgeheimnisse gibt. Priorisieren Sie privilegierte Konten mit Zugang zu Produktionssystemen zuerst.
2. Deaktivieren Sie die Speicherung von Browser-Anmeldedaten. Verwenden Sie Enterprise-Browser-Management-Richtlinien über Gruppenrichtlinien oder MDM, um das Speichern von Passwörtern in Browsern zu verhindern. Erzwingen Sie die Nutzung von Enterprise-Passwortmanagern mit hardwaregestützter Verschlüsselung. Konfigurieren Sie Alarme für Browser, die mit Remote-Debugging-Flags (--remote-debugging-port) gestartet werden – eine bekannte Infostealer-Technik zum Hooken von Browser-Prozessen.
3. Setzen Sie verhaltensbasierte KI-Endpunktsicherheit ein. macOS-Malware-Forschung stellt klar: „Security-Lösungen mit dynamischer Analyse erzielen bessere Erkennungsraten“, da Infostealer unabhängig von der Liefer-Obfuskation im Klartext dekodieren und ausführen müssen. Statische Signaturen versagen gegen verschlüsselte und polymorphe Payloads.
4. Erstellen und testen Sie Credential-Rotation-Playbooks vor Vorfällen. Definieren Sie im Voraus, wie Sie die Rotation sequenzieren, ohne kritische Systeme außer Betrieb zu setzen. Ad-hoc-Credential-Rotation unter Incident-Druck ist regelmäßig zu langsam. Ihr Playbook sollte Netzwerkisolation, Bestimmung des Infektionszeitraums, vollständige Credential-Rotation für alle zugänglichen Anmeldedaten, aktive Sitzungsinvalidation und Überprüfung der Zugriffsprotokolle über den gesamten Dwell-Zeitraum umfassen.
5. Beschränken Sie die Prozessa usführung aus risikoreichen Pfaden. Konfigurieren Sie Application-Control-Richtlinien (WDAC, AppLocker oder macOS-MDM-Profile), um unsignierte ausführbare Dateien aus Downloads-, Temp- und Benutzerprofilverzeichnissen zu blockieren. Erweitern Sie diese Kontrollen auf Entwicklerarbeitsplätze und CI-Runner.

Diese Maßnahmen reduzieren die Angriffsfläche, aber das Stoppen von Infostealern, die Prävention umgehen, erfordert eine Plattform, die Endpunkt-, Identitäts- und Netzwerk-Telemetrie in Echtzeit verbindet.

Wichtige Erkenntnisse

Infostealer sind auf Credential-Diebstahl spezialisierte Malware, die lautlos arbeitet, Passwörter und Sitzungstoken schnell exfiltriert und eine nachgelagerte kriminelle Ökonomie für Ransomware, Account-Takeover und Finanzbetrug speist. MFA allein verhindert keinen Sitzungstoken-Diebstahl. Browser-Credential-Stores sind das primäre Ziel. 

Jeder Infostealer-Fund erfordert Credential-Invalidation, Jagd nach lateraler Bewegung und Ransomware-Precursor-Protokolle. Verhaltensbasierte  KI-Schutz,  Identity Protection und vorgefertigte Response-Playbooks bilden die Verteidigungsgrundlage.