Een Leider in het 2025 Gartner® Magic Quadrant™ voor Endpoint Protection Platforms. Vijf jaar op rij.Een Leider in het Gartner® Magic Quadrant™Lees Rapport
Ervaart u een beveiligingslek?Blog
Aan de slagContact Opnemen
Header Navigation - NL
  • Platform
    Platform Overzicht
    • Singularity Platform
      Welkom bij de geïntegreerde bedrijfsbeveiliging
    • AI voor beveiliging
      Toonaangevend in AI-Powered beveiligingsoplossingen
    • Beveiliging van AI
      Versnel de adoptie van AI met veilige AI-tools, applicaties en agents.
    • Hoe het werkt
      Het Singularity XDR verschil
    • Singularity Marketplace
      Integraties met één klik om de kracht van XDR te ontsluiten
    • Prijzen en Pakketten
      Vergelijkingen en richtlijnen in één oogopslag
    Data & AI
    • Purple AI
      SecOps versnellen met generatieve AI
    • Singularity Hyperautomation
      Eenvoudig beveiligingsprocessen automatiseren
    • AI-SIEM
      De AI SIEM voor het Autonome SOC
    • AI Data Pipelines
      Beveiligingsdatapijplijn voor AI SIEM en data-optimalisatie
    • Singularity Data Lake
      Aangedreven door AI, verenigd door Data Lake
    • Singularity Data Lake For Log Analytics
      Naadloze opname van gegevens uit on-prem, cloud of hybride omgevingen
    Endpoint Security
    • Singularity Endpoint
      Autonome preventie, detectie en respons
    • Singularity XDR
      Inheemse en open bescherming, detectie en respons
    • Singularity RemoteOps Forensics
      Forensisch onderzoek op schaal orkestreren
    • Singularity Threat Intelligence
      Uitgebreide informatie over tegenstanders
    • Singularity Vulnerability Management
      Rogue Activa Ontdekken
    • Singularity Identity
      Bedreigingsdetectie en -respons voor Identiteit
    Cloud Security
    • Singularity Cloud Security
      Blokkeer aanvallen met een AI-gebaseerde CNAPP
    • Singularity Cloud Native Security
      Cloud en ontwikkelingsbronnen beveiligen
    • Singularity Cloud Workload Security
      Platform voor realtime bescherming van de cloudwerklast
    • Singularity Cloud Data Security
      AI-gestuurde detectie van bedreigingen
    • Singularity Cloud Security Posture Management
      Cloud misconfiguraties opsporen en herstellen
    AI Beveiligen
    • Prompt Security
      AI-tools in de hele organisatie beveiligen
  • Waarom SentinelOne?
    Waarom SentinelOne?
    • Waarom SentinelOne?
      Cybersecurity Ontworpen voor What’s Next
    • Onze Klanten
      Vertrouwd door 's Werelds Meest Toonaangevende Ondernemingen
    • Industrie Erkenning
      Getest en Gevalideerd door Experts
    • Over Ons
      De Marktleider in Autonome Cybersecurity
    Vergelijk SentinelOne
    • Arctic Wolf
    • Broadcom
    • CrowdStrike
    • Cybereason
    • Microsoft
    • Palo Alto Networks
    • Sophos
    • Splunk
    • Trellix
    • Trend Micro
    • Wiz
    Markten
    • Energie
    • Overheid
    • Financieel
    • Zorg
    • Hoger Onderwijs
    • Basis Onderwijs
    • Manufacturing
    • Retail
    • Rijksoverheid & lokale overheden
  • Services
    Managed Services
    • Managed Services Overzicht
      Wayfinder Threat Detection & Response
    • Threat Hunting
      Wereldklasse expertise en Threat Intelligence.
    • Managed Detection & Response
      24/7/365 deskundige MDR voor uw volledige omgeving.
    • Incident Readiness & Response
      DFIR, paraatheid bij inbreuken & compromitteringsbeoordelingen.
    Support, Implementatie & Health
    • Technical Account Management
      Customer Success met Maatwerk Service
    • SentinelOne GO
      Begeleid Onboarden en Implementatieadvies
    • SentinelOne University
      Live en On-Demand Training
    • Services Overview
      Allesomvattende oplossingen voor naadloze beveiligingsoperaties
    • SentinelOne Community
      Community Login
  • Partners
    Ons Ecosysteem
    • MSSP Partners
      Versneld Succes behalen met SentinelOne
    • Singularity Marketplace
      Vergroot de Power van S1 Technologie
    • Cyber Risk Partners
      Schakel de Pro Response en Advisory Teams in
    • Technology Alliances
      Geïntegreerde, Enterprise-Scale Solutions
    • SentinelOne for AWS
      Gehost in AWS-regio's over de hele wereld
    • Channel Partners
      Lever de juiste oplossingen, Samen
    • SentinelOne for Google Cloud
      Geünificeerde, autonome beveiliging die verdedigers een voordeel biedt op wereldwijde schaal.
    Programma Overzicht→
  • Resources
    Resource Center
    • Case Studies
    • Datasheets
    • eBooks
    • Webinars
    • White Papers
    • Events
    Bekijk alle Resources→
    Blog
    • In de Spotlight
    • Voor CISO/CIO
    • Van de Front Lines
    • Cyber Response
    • Identity
    • Cloud
    • macOS
    SentinelOne Blog→
    Tech Resources
    • SentinelLABS
    • Ransomware Anthologie
    • Cybersecurity 101
  • Bedrijf
    Over SentinelOne
    • Over SentinelOne
      De Marktleider in Cybersecurity
    • Labs
      Threat Onderzoek voor de Moderne Threat Hunter
    • Vacatures
      De Nieuwste Vacatures
    • Pers & Nieuws
      Bedrijfsaankondigingen
    • Cybersecurity Blog
      De Laatste Cybersecuritybedreigingen, Nieuws en Meer
    • FAQ
      Krijg Antwoord op de Meest Gestelde Vragen
    • DataSet
      Het Live Data Platform
    • S Foundation
      Zorgen voor een veiligere toekomst voor iedereen
    • S Ventures
      Investeren in Next Generation Security en Data
Aan de slagContact Opnemen
Background image for Wat is een infostealer? Hoe malware voor het stelen van inloggegevens werkt
Cybersecurity 101/Cyberbeveiliging/Infostealer

Wat is een infostealer? Hoe malware voor het stelen van inloggegevens werkt

Infostealers extraheren ongemerkt wachtwoorden, sessiecookies en browsergegevens van geïnfecteerde systemen. Gestolen inloggegevens voeden ransomware, accountovernames en fraude.

CS-101_Cybersecurity.svg
Inhoud
Wat is een Infostealer?
Kerncomponenten van een Infostealer
Hoe Infostealers Werken
Waarom Infostealers Moeilijk te Stoppen Zijn
Soorten Gegevens die door Infostealers Worden Gestolen
Belangrijkste Infostealer-families
Windows Infostealers
MacOS Infostealers
De Infostealer-naar-Ransomware-pijplijn
Waarom Infostealers Traditionele Verdediging Ontwijken
Hoe Een Infostealer-infectie te Detecteren
Veelgemaakte Fouten bij het Verdedigen tegen Infostealers
Best Practices voor Verdediging tegen Infostealers
Belangrijkste Inzichten

Gerelateerde Artikelen

  • Wat is een Secure Web Gateway (SWG)? Netwerkbeveiliging uitgelegd
  • Wat is OS Command Injection? Exploitatie, impact & verdediging
  • Malwarestatistieken
  • Statistieken gegevensinbreuken
Auteur: SentinelOne
Bijgewerkt: May 7, 2026

Wat is een Infostealer?

Een gecompromitteerde laptop van een externe medewerker zonder endpointbescherming stelde inloggegevens bloot aan een cloud data platform, en de aanvallers hoefden geen enkel wachtwoord te kraken. Dat is het infostealer-probleem in één zin.

Een infostealer is een categorie malware die is ontworpen om heimelijk gevoelige gegevens te extraheren van geïnfecteerde systemen, waaronder opgeslagen wachtwoorden, sessiecookies, cryptocurrency wallet-bestanden en browser-autofillgegevens. Een infostealer werkt geruisloos: het voert uit, verzamelt, exfiltreert en sluit snel af. De gestolen gegevens worden gebundeld in gestructureerde archieven, zogenaamde stealer logs, en vervolgens verkocht op ondergrondse marktplaatsen waar andere criminelen ze kopen om vervolg-aanvallen uit te voeren.

Het ENISA-rapport beschrijft infostealers als "een solide en wijdverbreide schakel in de cybercriminele supply chain," die voornamelijk credential theft, sessiekaping en toegangsbemiddeling mogelijk maken. De gestolen inloggegevens vormen initiële toegang voor ransomware-operators, business email compromise-campagnes en accountovernamefraude. Voor u betekent een infostealer-incident dat sessie-invalidatie, credentialrotatie en gedragsmatige endpointbescherming vereist zijn, niet alleen malwareverwijdering.

Infostealers bevinden zich op het snijvlak van identity security en endpointbescherming. Ze richten zich op de inloggegevens die uw gebruikers in browsers opslaan, de sessietokens die bewijzen dat MFA is voltooid, en de API-sleutels die ontwikkelaars in lokale bestanden achterlaten. Het Verizon DBIR koppelt credentialmisbruik aan initiële toegang en merkt overlap op tussen ransomware-slachtoffers en infostealer credential dumps.

Voor uw SOC verandert een infostealer-detectie het dreigingsmodel direct. Het is geen geïsoleerd endpoint-incident. Het is een voorbode van accountovername, laterale beweging en mogelijk ransomware-uitrol door een volledig andere actor. Begrijpen wat dit mogelijk maakt, begint bij hoe infostealers zijn opgebouwd.

Kerncomponenten van een Infostealer

Moderne infostealers delen een consistente architectuur opgebouwd rond vijf functionele componenten:

  1. Leveringsmechanisme: Phishing-e-mails, malvertisingcampagnes, getrojaniseerde software en ClickFix/nep-CAPTCHA-aanvallen die gebruikers misleiden om opdrachten uit te voeren via Windows Run of PowerShell. Lumma Stealer-campagnes gebruiken bijvoorbeeld nep-CAPTCHA-pagina's die slachtoffers instrueren om opdrachten te kopiëren en uit te voeren via het Windows Run-dialoogvenster.
  2. Credential harvesting modules: Browser credential extractie richt zich op de SQLite Login Data-database in Chromium-browsers, waarbij wachtwoorden worden ontsleuteld via AES-GCM of de Windows DPAPI. Infostealers verzamelen ook inloggegevens uit password managers, e-mailclients, VPN-configuraties en cryptocurrency wallets.
  3. Sessietoken-diefstal: Cookie- en sessietokenverzameling stelt aanvallers in staat zich als u te authenticeren zonder uw wachtwoord of MFA-code. De gestolen cookie vormt het bewijs dat MFA al is voltooid, waardoor deze volledig wordt omzeild.
  4. Data staging en exfiltratie: Gestolen gegevens worden verpakt in gestructureerde logs en verzonden naar door aanvallers beheerde C2-servers, Telegram-bots of cloudopslagdiensten zoals Dropbox. SentinelLabs-rapport documenteert Telegram-infrastructuur die wordt gebruikt om exfiltratie te versnellen en het verkoopproces te stroomlijnen.
  5. Anti-analyse en ontwijking: VM/sandbox-detectie, fileless executie vanuit geheugen, process injectie en file padding ontworpen om analysetools te laten crashen. Deze technieken corresponderen direct met MITRE ATT&CK T1027 (Obfuscated Files or Information).

De gehele operatie draait op een Malware-as-a-Service (MaaS) businessmodel. Ontwikkelaars onderhouden webpanels, payload builders en klantenondersteuningskanalen op Telegram. Abonnees voeren vervolgens onafhankelijke campagnes uit.

Hoe Infostealers Werken

Een infostealer-aanval volgt een voorspelbare kill chain, maar elke fase is ontworpen om uw detectievenster te minimaliseren.

  1. Fase 1: Initiële uitvoering. De payload komt binnen via phishing, malvertising of social engineering. SentinelLabs-onderzoek documenteerde een campagne waarbij gebruikers archieven downloadde met een ondertekende kopie van de Haihaisoft PDF Reader freeware-applicatie naast een kwaadaardige DLL voor sideloading.
  2. Fase 2: Credential harvesting. De malware richt zich op browser credential databases (T1555.003), voert SQL-queries uit op het Login Data-bestand van Chrome en ontsleutelt opgeslagen wachtwoorden. Katz Stealer documenteert een onderscheidende techniek: de malware start browsers in headless-modus en injecteert een gespecialiseerde DLL om gevoelige gegevens te benaderen via de eigen beveiligingscontext van de browser.
  3. Fase 3: Sessietoken-diefstal. De infostealer kopieert geauthenticeerde sessiecookies (T1539), waardoor aanvallers uw gebruikers kunnen imiteren op webapplicaties waar die sessies nog geldig zijn. Sommige varianten stelen ook andere tokens die kunnen helpen toegang te regenereren of verlengen, wat betekent dat een wachtwoordwijziging niet direct de toegang van de aanvaller ongeldig maakt.
  4. Fase 4: Aanvullende verzameling. Keylogging (T1056), klembordmonitoring voor cryptocurrency-adressen en seed phrases (T1115), diefstal van cryptocurrency wallet-bestanden en systeemprofilering voor slachtofferprofilering. SentinelLabs-analyse documenteert dat Vidar locatiegegevens verzamelt om bedreigingsactoren te helpen de waarde van het systeem te beoordelen voordat secundaire payloads zoals ransomware worden ingezet.
  5. Fase 5: Exfiltratie en exit. Gegevens worden via versleutelde kanalen naar C2-infrastructuur verzonden, vaak met misbruik van legitieme diensten. De malware sluit vervolgens netjes af, met minimale forensische sporen. Dit niet-persistente executiemodel is een bewuste ontwerpkeuze: tegen de tijd dat u de infectie vindt, is de malware verdwenen en zijn de inloggegevens al te koop.

Waarom Infostealers Moeilijk te Stoppen Zijn

Verschillende kenmerken maken infostealers bijzonder lastig te verdedigen.

  • Het MaaS-model elimineert de vaardigheidsdrempel. Niet-technische operators kunnen credential theft-tools inzetten via abonnementsdiensten. Zelfs na ingrijpen door opsporingsdiensten bouwen operators vaak snel opnieuw op en verschuift de markt naar vervangende families.
  • Sessietoken-diefstal maakt MFA onvoldoende. Infostealers stelen sessiecookies als primaire functionaliteit. MITRE ATT&CK documenteert dat APT29, Scattered Spider, Star Blizzard en LAPSUS$ allemaal T1539 gebruiken om MFA te omzeilen. Wachtwoordrotatie na een incident maakt actieve tokens die al in handen van de aanvaller zijn niet ongeldig.
  • Polymorfe ontwijking verslaat signature-based tools. Fileless executie, in-memory staging en process injectie omzeilen statische verdediging volledig. Branche-rapportages beschrijven toegenomen infostealer-levering via phishing, mede doordat aanvallers AI gebruiken om phishing-e-mails op schaal te genereren.
  • Misbruik van legitieme platforms creëert niet-blokkeerbare kanalen. Infostealers exfiltreren via Telegram API's, Dropbox en GitHub. U kunt deze diensten niet blokkeren zonder bedrijfsprocessen te verstoren, waardoor uw team afhankelijk is van gedragsanalyse in plaats van netwerkfiltering.

Deze kenmerken zijn niet uniek voor één tool. Ze worden gedeeld door een groeiend ecosysteem van infostealer-families die allemaal strijden om marktaandeel op ondergrondse fora.

Soorten Gegevens die door Infostealers Worden Gestolen

Infostealers richten zich op een specifieke set van waardevolle gegevenstypen, elk gekozen omdat het een andere categorie vervolg-aanval mogelijk maakt.

  1. Opgeslagen wachtwoorden en browser-autofillgegevens. Chromium- en Firefox-browsers slaan inloggegevens op in lokale SQLite-databases. Infostealers bevragen deze databases direct, ontsleutelen de opgeslagen wachtwoorden via OS-API's en extraheren autofill-items zoals adressen, telefoonnummers en betaalkaartgegevens. Deze inloggegevens vormen de grondstof voor accountovernamecampagnes en credential-stuffing-aanvallen binnen zakelijke SaaS-omgevingen.
  2. Sessiecookies en authenticatietokens. Actieve sessiecookies bewijzen dat een gebruiker al is geauthenticeerd, inclusief MFA. Gestolen cookies stellen aanvallers in staat die sessies te hergebruiken zonder extra authenticatie-uitdagingen. Dit is een van de belangrijkste redenen waarom infostealers MFA zo effectief omzeilen: de aanvaller hoeft het authenticatieproces helemaal niet te doorlopen.
  3. Cryptocurrency wallet-bestanden en seed phrases. Infostealers kopiëren wallet.dat-bestanden, browserextensiegegevens van wallets zoals MetaMask en monitoren het klembord op seed phrases en wallet-adressen. Cryptocurrency-diefstal is onomkeerbaar, waardoor deze doelen bijzonder waardevol zijn voor aanvallers op ondergrondse markten.
  4. Systeemfingerprints en omgevingsgegevens. Hostnaam, IP-adres, geïnstalleerde software, actieve processen en hardware-ID's helpen aanvallers slachtoffers te profileren en te bepalen welke gestolen inloggegevens tot waardevolle bedrijfsomgevingen behoren. SentinelLabs-analyse documenteert dat Vidar locatiegegevens verzamelt om bedreigingsactoren te helpen de doelwitwaarde te beoordelen voordat secundaire payloads worden ingezet.
  5. E-mailclient- en messagingapplicatiegegevens. Lokaal opgeslagen e-mails, chatlogs en applicatie-inloggegevens van clients zoals Outlook en Thunderbird vergroten de toegang van de aanvaller tot meer dan alleen browsergegevens. Gestolen e-mailcredentials worden direct gebruikt voor business email compromise-operaties.
  6. VPN- en RDP-configuraties. Opgeslagen VPN-profielen en remote desktop-inloggegevens bieden netwerktoegang die veel verder reikt dan één endpoint. Voor ransomware-operators die stealer logs kopen, behoren VPN-credentials tot de meest waardevolle items omdat ze directe toegang tot bedrijfsnetwerken bieden.

De breedte van de gegevens waarop infostealers zich richten verklaart waarom zoveel verschillende malwarefamilies in deze ruimte concurreren, elk geoptimaliseerd voor verschillende combinaties van deze gegevenstypen.

Belangrijkste Infostealer-families

Het infostealer-ecosysteem is drukbezet en verandert snel doordat ingrijpen door opsporingsdiensten operators naar nieuwe tools dwingt. Deze families vertegenwoordigen de meest gedocumenteerde dreigingen op Windows en macOS.

Windows Infostealers

FamilieBelangrijkste kenmerkenOpmerkelijk detail
Lumma (LummaC2)Browsercredentials, crypto wallets, 2FA-extensies. Geleverd via ClickFix/nep-CAPTCHA en malvertising.Doelwit van een gecoördineerde actie door opsporingsdiensten en industrie in mei 2025; infrastructuur binnen enkele weken herbouwd.
RedLineBrowsergegevens, FTP/VPN-credentials, cryptocurrency wallets, systeemprofilering. Verkocht via MaaS op ondergrondse fora.Operation Magnus verstoorde RedLine-infrastructuur eind 2024; opvolgvarianten blijven circuleren.
VidarFork van Arkei stealer. Richt zich op een breed scala aan browsers, crypto wallets en messaging-apps. Gebruikt als dropper voor ransomware.Operators wisselen C2-infrastructuur vaak via social media-profielen en dead-drop resolvers.
RhadamanthysBanking-credentials, crypto wallets, systeemprofilering. Verspreid via SEO poisoning en malspam.Gebruikt geavanceerde ontwijking, waaronder process hollowing en multi-stage loaders.
StealCLichtgewicht MaaS-stealer gericht op browsercredentials, extensies en lokale bestanden. Modulaire plugin-architectuur.Wint marktaandeel als Lumma/RedLine-vervanging na verstoringen in 2024–2025.

MacOS Infostealers

Het macOS-infostealerlandschap is in 2024 snel gegroeid. SentinelLabs-onderzoek documenteert families zoals Amos Atomic, Banshee Stealer, Cuckoo Stealer en Poseidon, die zich allemaal richten op Keychain-credentials, browsergegevens en cryptocurrency wallets. Deze families gebruiken AppleScript om wachtwoordvensters te imiteren en gebruikers te misleiden om inloggegevens in te voeren, waardoor de malware toegang krijgt tot de Keychain en alle opgeslagen wachtwoorden op het systeem.

Ongeacht de familie of het platform volgen de gestolen inloggegevens hetzelfde pad: naar ondergrondse markten en vaak in handen van ransomware-operators.

De Infostealer-naar-Ransomware-pijplijn

De connectie tussen infostealers en ransomware is goed gedocumenteerd door meerdere onafhankelijke bronnen. Infostealers dienen als de eerste fase in een tweefasige aanvalsketen. Het SANS Institute documenteert dat ransomware-dreigingsactoren "doorgaans binnenkomen via inloggegevens die zijn gestolen door infostealer-malware, waarbij initial access brokers als tussenpersoon fungeren tussen infostealer-operators en ransomwaregroepen."

De operationele kloof tussen infostealer-infectie en ransomware-uitrol kan een aanzienlijke periode beslaan, met ongeziene laterale beweging gedurende die tijd. Een infostealer-detectie behandelen als een laag-severity endpoint-event is een kostbare fout. Elke infostealer-detectie moet ransomware-voorloperprotocollen activeren, waaronder volledige credential scope assessment, laterale beweging hunting en vooraf gebouwde containment playbooks.

Het effectief uitvoeren van deze protocollen vereist inzicht in waarom infostealers zo moeilijk te detecteren zijn voor conventionele beveiligingstools.

Waarom Infostealers Traditionele Verdediging Ontwijken

Infostealers brengen specifieke structurele uitdagingen met zich mee die ze moeilijker te stoppen maken dan veel andere malwarecategorieën.

  • Versleutelde exfiltratie mengt zich met normaal verkeer. Gestolen gegevens worden via HTTPS naar legitieme clouddiensten gestuurd. Sommige varianten splitsen archieven in delen om DLP-tools te omzeilen die zijn geconfigureerd voor grote enkelbestands-overdrachten. Uw netwerkbeveiligingsstack ziet wat lijkt op normaal versleuteld webverkeer.
  • Korte uitvoeringsvensters laten minimale forensische sporen achter. Niet-persistente infostealers schrijven weinig tot niets permanent weg op schijf. Geheugenartefacten worden overschreven. U onderzoekt netwerktelemetrie en credentialgebruiklogs in plaats van endpointartefacten, omdat de malware zichzelf heeft verwijderd voordat uw team het opmerkte.
  • Credential API hooking onderschept credentials binnen legitieme processen. MITRE ATT&CK T1056.001 documenteert credential API hooking die inloggegevens onderschept binnen legitieme procescontexten, waardoor kwaadaardig gedrag moeilijk te onderscheiden is van normaal applicatiegedrag op procesniveau.
  • De BYOD-blind spot is structureel. Het Verizon DBIR merkt op dat veel gecompromitteerde systemen met zakelijke logins in infostealer logs onbeheerde apparaten waren. De Snowflake-breach toonde dit direct aan: SANS-onderzoek bevestigde dat persoonlijke laptops van externe partijen geen antivirus of EDR hadden en werden gebruikt voor persoonlijke activiteiten, waaronder het draaien van illegale software.

Deze ontwijkingsvoordelen betekenen dat het vinden van een infostealer-infectie vaak afhangt van het herkennen van de effecten ervan in plaats van de malware zelf.

Hoe Een Infostealer-infectie te Detecteren

Omdat infostealers zijn ontworpen om snel uit te voeren en te verdwijnen, is het vinden van een infectie afhankelijk van het herkennen van de downstream-effecten van credential theft in plaats van het vangen van de malware zelf. Dit zijn de indicatoren die uw team moet monitoren:

  • Zakelijke inloggegevens die verschijnen op dark web-marktplaatsen. Stealer logs duiken binnen enkele uren na diefstal op op markten zoals Russian Market. Continue monitoring op blootgestelde zakelijke e-mail- en domeincredentials biedt de vroegste waarschuwing dat een infostealer een van uw gebruikers heeft gecompromitteerd.
  • Afwijkende sessie-activiteit in SaaS- en cloudapplicaties. Logins vanuit onverwachte geografische locaties, nieuwe device fingerprints of gelijktijdige sessies uit verschillende regio's duiden erop dat gestolen sessietokens worden hergebruikt. Het correleren van identity telemetry met endpointgegevens helpt legitieme reizen te onderscheiden van token replay.
  • Browserprocessen die starten met ongebruikelijke flags. Infostealers haken browserprocessen aan via remote debugging ports of headless-modus. Alerts op browsers die worden gestart met --remote-debugging-port of --headless flags vanuit niet-standaard ouderprocessen zijn een betrouwbare indicator.
  • Onverwachte uitgaande verbindingen naar Telegram API's of cloudopslag. Exfiltratie naar api.telegram.org, Dropbox of GitHub vanaf endpoints die deze diensten normaal niet gebruiken is een sterk gedragsmatig signaal, vooral in combinatie met archiefcreatie of data staging-activiteit.
  • Credential access-patronen in EDR-telemetrie. MITRE ATT&CK T1555.003 (Credentials from Web Browsers) en T1539 (Steal Web Session Cookie) genereren identificeerbare telemetrie wanneer processen buiten de browser credential databases of cookiestores benaderen.

Vroege identificatie is afhankelijk van het correleren van deze signalen over endpoint-, identity- en netwerklaag in plaats van te vertrouwen op één enkele indicator.

Veelgemaakte Fouten bij het Verdedigen tegen Infostealers

Zelfs organisaties met volwassen beveiligingsprogramma's maken vermijdbare fouten bij het reageren op infostealer-incidenten.

  • Infostealer-detecties behandelen als geïsoleerde endpoint-incidenten. Tegen de tijd dat u de infectie vindt, zijn gestolen credentials mogelijk al in handen van een aparte access broker met een ander tijdspad. Endpoint-remediatie zonder credential-invalidatie en lateral movement hunting laat het downstream-aanvalspad wijd open.
  • Alleen vertrouwen op wachtwoordrotatie. Wachtwoordwijzigingen maken actieve sessietokens niet ongeldig. Als een infostealer geauthenticeerde cookies heeft verzameld, heeft de aanvaller nog steeds geldige sessies, ongeacht uw nieuwe wachtwoord. U moet actieve sessie-invalidatie uitvoeren op alle getroffen accounts.
  • Geen monitoring van dark web-credentials. Gestolen credentials verschijnen kort na diefstal op markten zoals Russian Market. Organisaties die niet monitoren op blootgestelde zakelijke credentials missen het venster tussen diefstal en uitbuiting door een volgende actor.
  • De browser negeren als primair aanvalsvlak. CISA Advisory documenteert dat Raccoon Stealer en Vidar inloggegevens, browsergeschiedenis en cookies direct uit browsers stelen. De browser is tegelijkertijd uw primaire credential store en uw primaire sessietoken-repository voor cloudapplicaties, maar browserlaag-telemetrie is een signaal dat de meeste organisaties niet verzamelen.
  • EDR-dekking overslaan voor contractor- en ontwikkelaarsapparaten. Werkstations van ontwikkelaars hebben toegang tot productiegeheimen, deployment-credentials en code signing-infrastructuur, terwijl ze minder worden gemonitord dan productie-servers. Endpointdekking uitbreiden naar deze omgevingen sluit een van de meest misbruikte gaten.

Het vermijden van deze fouten is noodzakelijk maar niet voldoende. Een gestructureerde verdedigingsstrategie moet de volledige infostealer kill chain adresseren.

Best Practices voor Verdediging tegen Infostealers

Een gelaagde verdedigingsstrategie adresseert de infostealer kill chain op meerdere niveaus, van initiële toegang tot exfiltratie.

  1. Implementeer phishing-resistente authenticatie. FIDO2/passkey-implementaties genereren unieke cryptografische credentials per dienst, en privésleutels verlaten nooit het apparaat van de gebruiker. Zoals passwordless auth uitlegt, levert het compromitteren van één dienst geen credentials op die elders bruikbaar zijn omdat er geen gedeelde wachtwoordgeheimen zijn om te compromitteren. Prioriteer eerst bevoorrechte accounts met toegang tot productiesystemen.
  2. Schakel opslag van browsercredentials uit. Gebruik enterprise browser management policies via Group Policy of MDM om te voorkomen dat browsers wachtwoorden opslaan. Dwing het gebruik van enterprise password managers met hardwarematige encryptie af. Stel alerts in voor browsers die worden gestart met remote debugging-flags (--remote-debugging-port), een bekende infostealer-techniek voor het hooken van browserprocessen.
  3. Implementeer gedragsmatige AI-endpointbescherming. macOS-malwareonderzoek stelt direct: "Security-oplossingen die dynamische analyse toepassen zijn succesvoller" omdat infostealers altijd in cleartext moeten decoderen en uitvoeren, ongeacht leveringsobfuscatie. Statische signatures falen tegen versleutelde en polymorfe payloads.
  4. Bouw en test credentialrotatie-playbooks vóór incidenten. Definieer vooraf hoe u rotatie sequentieel uitvoert zonder kritieke systemen uit te schakelen. Ad-hoc credentialrotatie onder incidentdruk is structureel te traag. Uw playbook moet netwerkisolatie, bepaling van de infectietijdlijn, volledige credentialrotatie voor alle toegankelijke credentials, actieve sessie-invalidatie en toegangslogreview over de volledige dwell-periode omvatten.
  5. Beperk procesuitvoering vanuit risicovolle paden. Stel application control policies in (WDAC, AppLocker of macOS MDM-profielen) om niet-ondertekende uitvoerbare bestanden uit Downloads-, Temp- en User Profile-mappen te blokkeren. Breid deze controles uit naar ontwikkelaarswerkstations en CI-runners.

Deze maatregelen verkleinen het aanvalsoppervlak, maar het stoppen van infostealers die preventie omzeilen vereist een platform dat endpoint-, identity- en netwerktelemetrie in realtime verbindt.

Ontketen AI-aangedreven cyberbeveiliging

Verhoog uw beveiliging met realtime detectie, reactiesnelheid en volledig overzicht van uw gehele digitale omgeving.

Vraag een demo aan

Belangrijkste Inzichten

Infostealers zijn credential-stealende malware die geruisloos opereren, snel wachtwoorden en sessietokens exfiltreren en een downstream criminele economie voeden die ransomware, accountovername en financiële fraude aandrijft. Alleen MFA stopt sessietoken-diefstal niet. Browser credential stores zijn het primaire doelwit. 

Elke infostealer-detectie vereist credential-invalidatie, hunting op laterale beweging en ransomware-voorloperprotocollen. Gedragsmatige AI-bescherming, identity protection en vooraf gebouwde response playbooks vormen de verdedigingsbasis.

Veelgestelde vragen

Een infostealer is malware die is ontworpen om ongemerkt gevoelige gegevens van geïnfecteerde systemen te verzamelen, waaronder opgeslagen wachtwoorden, sessiecookies, browser-autofillgegevens en cryptocurrency wallet-bestanden. 

Infostealers bundelen gestolen gegevens in gestructureerde logs en verkopen deze op ondergrondse marktplaatsen, waar andere criminelen de buitgemaakte inloggegevens gebruiken om vervolgaanvallen uit te voeren, zoals ransomware, accountovername en business email compromise.

Infostealers bereiken eindpunten via phishing-e-mails met kwaadaardige bijlagen, malvertising-campagnes die doorverwijzen naar sites die payloads hosten, getrojaniseerde softwaredownloads en ClickFix-aanvallen waarbij gebruikers worden misleid om opdrachten te plakken in Windows Uitvoeren of PowerShell. Sommige campagnes maken gebruik van SEO-poisoning om valse downloadpagina's voor populaire software hoger te laten scoren. 

Het Malware-as-a-Service-model betekent dat operators met minimale technische kennis distributiecampagnes kunnen lanceren via abonnementsplatforms met kant-en-klare payload builders.

Veelvoorkomende indicatoren zijn onder andere bedrijfsreferenties die verschijnen op dark web-marktplaatsen, aanmeldingen vanaf onverwachte geografische locaties of nieuwe apparaatfingerprints, browserprocessen die worden gestart met ongebruikelijke vlaggen zoals --remote-debugging-port, onverwachte uitgaande verbindingen met Telegram API's of cloudopslagdiensten, en toegangs­patronen tot referenties in EDR-telemetrie gericht op browserdatabases of cookiestores. 

Omdat infostealers snel uitvoeren en afsluiten, is het opsporen van een infectie meestal afhankelijk van het herkennen van deze downstream-effecten in plaats van het detecteren van de malware tijdens uitvoering.

Infostealers kraken MFA niet. Ze stelen sessiecookies die zijn uitgegeven nadat MFA succesvol is voltooid. Wanneer een aanvaller die cookie opnieuw gebruikt, ziet de doelapplicatie een reeds geauthenticeerde sessie en verleent toegang zonder MFA opnieuw te vragen. 

FIDO2/passkey-authenticatie weerstaat wachtwoordherhaling omdat het unieke cryptografische referenties per site genereert in plaats van herbruikbare gedeelde geheimen.

Infostealers verzamelen inloggegevens die access brokers verkopen aan ransomware-operators. Het SANS Institute documenteert dat ransomwaregroepen doorgaans initiële toegang verkrijgen via door infostealers verkregen inloggegevens. 

De infostealer-infectie en de ransomware-implementatie zijn vaak gescheiden in de tijd en worden uitgevoerd door volledig verschillende dreigingsactoren.

Na politieacties tegen Lumma en RedLine is het ecosysteem snel veranderd. Vidar, StealC, Acreed en Rhadamanthys worden in actuele rapportages genoemd als actieve of opkomende families. 

Het MaaS-model zorgt ervoor dat het verstoren van één familie de ontwikkeling en adoptie van opvolgers versnelt.

Ja. SentinelLabs-onderzoek documenteert macOS-infostealers zoals Amos Atomic, Banshee Stealer, Cuckoo Stealer en Poseidon. Deze families richten zich op Keychain-inloggegevens, browsergegevens en cryptowallets. 

Enterprise macOS-apparaten vereisen dezelfde gedragsmatige endpointbescherming als Windows-systemen.

Isoleer het getroffen endpoint, bepaal de infectietijdlijn, roteer alle inloggegevens die vanaf dat apparaat toegankelijk zijn, ongeldig alle actieve sessies en controleer toegangslogs over de volledige verblijfsperiode. Behandel het niet als een geïsoleerd endpoint-incident. 

Zoek naar laterale beweging met behulp van de gestolen inloggegevens.

Ontdek Meer Over Cyberbeveiliging

DDoS-aanvalstatistiekenCyberbeveiliging

DDoS-aanvalstatistieken

DDoS-aanvallen komen steeds vaker voor, duren korter en zijn moeilijker te negeren. In ons bericht over DDoS-aanvalstatistieken laten we zien wie er momenteel wordt aangevallen, hoe campagnes verlopen en meer.

Lees Meer
Insider Threat StatistiekenCyberbeveiliging

Insider Threat Statistieken

Krijg inzicht in trends, updates en meer over de nieuwste insider threat statistieken voor 2026. Ontdek met welke gevaren organisaties momenteel te maken hebben, wie getroffen zijn en hoe u beschermd blijft.

Lees Meer
CyberverzekeringsstatistiekenCyberbeveiliging

Cyberverzekeringsstatistieken

Cyberverzekeringsstatistieken voor 2026 tonen een snelgroeiende markt. We zien veranderende claimpatronen, strengere acceptatiecriteria en toenemende beschermingskloof tussen grote ondernemingen en kleinere bedrijven.

Lees Meer
Wat is applicatiebeveiliging? Een complete gidsCyberbeveiliging

Wat is applicatiebeveiliging? Een complete gids

Applicatiebeveiliging beschermt software gedurende de SDLC met tools zoals SAST, DAST, SCA en runtime-beveiliging. Leer hoe u een AppSec-programma opzet.

Lees Meer
Ervaar het meest geavanceerde platform voor cyberbeveiliging

Ervaar het meest geavanceerde platform voor cyberbeveiliging

Ontdek hoe 's werelds meest intelligente, autonome cyberbeveiligingsplatform uw organisatie vandaag en in de toekomst kan beschermen.

Vraag een demo aan
  • Aan de slag
  • Vraag een demo aan
  • Product Tour
  • Waarom SentinelOne
  • Prijzen & Pakketten
  • FAQ
  • Contact
  • Contact
  • Support
  • SentinelOne Status
  • Taal
  • Platform
  • Singularity Platform
  • Singularity Endpoint
  • Singularity Cloud
  • Singularity AI-SIEM
  • Singularity Identity
  • Singularity Marketplace
  • Purple AI
  • Services
  • Wayfinder TDR
  • SentinelOne GO
  • Technical Account Management
  • Support Services
  • Markten
  • Energie
  • Overheid
  • Financieel
  • Zorg
  • Hoger Onderwijs
  • Basis Onderwijs
  • Manufacturing
  • Retail
  • Rijksoverheid & lokale overheden
  • Cybersecurity for SMB
  • Resources
  • Blog
  • Labs
  • Case Studies
  • Product Tour
  • Events
  • Cybersecurity 101
  • eBooks
  • Webinars
  • Whitepapers
  • Pers
  • Nieuws
  • Ransomware Anthology
  • Bedrijf
  • Over SentinelOne
  • Onze klanten
  • Vacatures
  • Partners
  • Legal & Compliance
  • Security & Compliance
  • S Foundation
  • S Ventures

©2026 SentinelOne, Alle rechten voorbehouden.

Privacyverklaring Gebruiksvoorwaarden

Dutch