Thought Leadership
4 Millionen Geräte sind von Infostealern befallen. Die Malware stiehlt Cookies und umgeht MFA lautlos. Wie Sie die unsichtbare Gefahr erkennen.
Laut aktuellen Berichten des Cybersecurity-Unternehmens KELA wurden im vergangenen Jahr weltweit fast 4 Millionen einzigartige Geräte von sogenannter Infostealer-Malware infiziert. Diese spezialisierte Software verfolgt ein klares Ziel: Sie soll unbemerkt bleiben und so viele sensible Daten wie möglich extrahieren, bevor sie wieder verschwindet.
Im Gegensatz zu Ransomware, die durch Verschlüsselung und Erpressernachrichten Aufmerksamkeit erregt, agieren Infostealer geräuschlos im Hintergrund. Sie stehlen Browser-Cookies, Login-Daten, lokale Dateien und Krypto-Wallets. Das Ausmaß dieser Aktivitäten ist gewaltig: Forscher von Cybernews identifizierten kürzlich eine Datenbank mit 16 Milliarden kompromittierten Zugangsdaten, die mutmaßlich aus verschiedenen Infostealer-Kampagnen stammen. Allein die von KELA untersuchten 4 Millionen infizierten Maschinen lieferten den Angreifern knapp 350 Millionen Datensätze.
Lumma auf Platz Eins
Der Markt für diese Art von Schadsoftware wird von wenigen, hocheffizienten Familien dominiert. Die folgende Tabelle zeigt die Verteilung der Infektionen basierend auf den Daten von KELA für das Jahr 2026:
| Malware-Familie | Anteil an den Infektionen |
| Lumma | 55,0 % |
| Redline | 25,0 % |
| Vidar | 10,0 % |
| Acreed | 3,6 % |
| StealC | 3,0 % |
Während Windows-Nutzer weiterhin das primäre Ziel darstellen, beobachtet die Sicherheitsbranche ein verstärktes Interesse an macOS-Endpunkten. Da Apple-Geräte in Unternehmen oft von Führungskräften oder Entwicklern genutzt werden, ist der Zugriff auf deren SaaS-Zugangsdaten, VPN-Verbindungen und Cloud-Token für Cyberkriminelle besonders lukrativ.
Umgehung der Multi-Faktor-Authentifizierung durch Cookie-Diebstahl
Eine besonders tückische Eigenschaft moderner Infostealer ist der Diebstahl von Browser-Cookies. Da diese Cookies oft aktive Sitzungstoken enthalten, können Angreifer diese einfach in ihren eigenen Browser kopieren. Das Ergebnis: Sie sind ohne Eingabe eines Passworts oder einer Multi-Faktor-Authentifizierung (MFA) direkt im Konto des Opfers angemeldet.
Symptome für eine solche Infektion sind oft schwer zu erkennen. David Carmiel, CEO von KELA, weist darauf hin, dass ungewöhnliche Aktivitäten wie Sitzungen von fremden Standorten oder plötzliche Abmeldungen von Webseiten Warnsignale sein können. Auch Sicherheitswarnungen über Logins ohne vorangegangene MFA-Abfrage sollten ernst genommen werden, da dies auf ein gültiges, aber gestohlenes Sitzungstoken hindeutet.
Neues Ziel: Agentische KI und lokale Arbeitsverzeichnisse
Ein aufstrebender Trend in der Entwicklung von Infostealern ist der Fokus auf Umgebungen für agentische KI. Da lokale KI-Agenten oft persistente Kontextdateien, Task-Historien und Konfigurationen mit API-Schlüsseln speichern, werden diese Verzeichnisse zu wertvollen Zielen. Die Malware versucht hierbei nicht nur, Zugangsdaten zu entwenden, sondern ganze logische Ketten und operative Speicherinhalte der KI-Agenten auszulesen. Dies ermöglicht Angreifern einen tiefen Einblick in die Arbeitsabläufe und internen Prozesse eines Unternehmens.
Angesichts dieser lautlosen Bedrohung empfehlen Experten eine Kombination aus modernen Endpunktschutz-Lösungen und einer konsequenten Überwachung aktiver Kontensitzungen. Da Infostealer auf Stealth-Operationen optimiert sind, ist die Prävention durch sichere Softwarequellen und das regelmäßige Bereinigen von Browser-Daten entscheidender denn je.
