Thought Leadership
Cyberkriminelle setzen bei der Verbreitung von Infostealern offenbar weiterhin vor allem auf menschliche Fehler statt auf komplexe Angriffstechniken.
Zu diesem Ergebnis kommt eine aktuelle Analyse von Kaspersky. Demnach begann mehr als jede dritte Infostealer-Infektion im Jahr 2025 durch das Ausführen von Dateien aus temporären Download-Verzeichnissen unter Windows.
Die Untersuchung verdeutlicht, dass viele Angriffe bereits in dem Moment erfolgreich sind, in dem Nutzer heruntergeladene Dateien ungeprüft starten. Besonders häufig betroffen war dabei das Verzeichnis „AppData\Local\Temp“, das Windows für zwischengespeicherte Downloads verwendet.
Downloads als häufigster Ausgangspunkt
Laut den Sicherheitsforschern wurden rund 35 Prozent aller untersuchten Infostealer-Infektionen aus temporären Browser-Ordnern gestartet. Diese Dateien gelangen meist über Downloads auf den Rechner und werden anschließend direkt ausgeführt.
Damit zeigt sich erneut, dass Cyberkriminelle oftmals keine aufwendigen Methoden benötigen. Stattdessen verlassen sie sich darauf, dass Anwender vermeintlich nützliche Programme installieren, ohne deren Herkunft ausreichend zu überprüfen.
Besonders problematisch sind dabei gecrackte Software, Aktivierungstools, inoffizielle Installationsprogramme oder Modifikationen für Computerspiele. Solche Anwendungen dienen häufig als Tarnung für Schadsoftware.
Moderne Schadprogramme nutzen Systemfunktionen
Neben den Download-Ordnern identifizierte die Analyse einen weiteren häufig genutzten Infektionspfad. Rund 32 Prozent der Infektionen wurden dem Verzeichnis „Microsoft.NET\Framework“ zugeordnet.
Hier kommen häufig sogenannte Living-off-the-Land-Techniken zum Einsatz. Dabei missbrauchen Angreifer legitime Windows-Komponenten, um Schadcode auszuführen und Sicherheitslösungen zu umgehen. Bekannte Infostealer-Familien wie Lumma nutzen solche Methoden gezielt, um möglichst lange unentdeckt zu bleiben.
Deaktivierte Schutzmechanismen erhöhen das Risiko
Ein wiederkehrendes Muster bei vielen Infektionen ist die gezielte Manipulation der Nutzer. Kriminelle fordern ihre Opfer häufig dazu auf, Sicherheitsprogramme vorübergehend auszuschalten oder Warnmeldungen zu ignorieren.
Dadurch können sich die Schadprogramme ungehindert installieren und sensible Informationen auslesen. Zu den bevorzugten Zielen gehören Zugangsdaten, Browser-Cookies, gespeicherte Passwörter sowie Kryptowährungs-Wallets.
Kaspersky weist darauf hin, dass die Zahl der Infostealer-Infektionen im Jahr 2025 im Vergleich zum Vorjahr um 59 Prozent gestiegen ist. Die Untersuchung legt nahe, dass menschliches Verhalten weiterhin eine der größten Schwachstellen in der IT-Sicherheit darstellt.
Schutz beginnt beim Download
Um das Risiko zu minimieren, empfehlen die Forscher, Software ausschließlich aus offiziellen Quellen zu beziehen und auf illegale Aktivierungstools oder gecrackte Programme vollständig zu verzichten.
Darüber hinaus sollten Betriebssysteme und Anwendungen regelmäßig aktualisiert werden. Starke Passwörter, die Nutzung von Multi-Faktor-Authentifizierung sowie aktuelle Sicherheitssoftware können zusätzliche Schutzebenen schaffen.
Für Unternehmen gewinnt zudem die kontinuierliche Überwachung digitaler Risiken an Bedeutung. Dazu gehören die frühzeitige Erkennung kompromittierter Zugangsdaten, die Analyse möglicher Datenlecks sowie der Zugriff auf aktuelle Informationen über neue Bedrohungen und Angriffsmethoden.
Technische Schutzmaßnahmen allein reichen nicht aus. Solange Nutzer unbekannte Dateien aus unsicheren Quellen ausführen oder Sicherheitswarnungen ignorieren, bleiben Infostealer eine der effektivsten Methoden für Cyberkriminelle, um an wertvolle Daten zu gelangen. Schulungen und Sensibilisierung der Anwender sind daher weiterhin ein zentraler Bestandteil jeder Sicherheitsstrategie.
(red/Kaspersky)
