Network
Credential-Diebstahl im strukturellen Wandel
Infostealer sind nicht mehr nur Malware. Verschärfte Sicherheitskontrollen und andere Faktoren zwingen Infostealer-Operationen dazu, sich anzupassen. Wie sieht die Entwicklung hin zu einer koordinierten Angriffsinfrastruktur aus?
Save to Folio
Wichtige Erkenntnisse
- Infostealer-Akteure übernehmen Spezialisierungs- und Affiliate-Modelle im Stil von Ransomware, was auf einen strukturellen Wandel in der Organisation und Monetarisierung von Operationen zum Diebstahl von Anmeldedaten hindeutet.
- Passkeys und Phishing-resistente Authentifizierung mindern den Wiederverkaufswert von Passwörtern und zwingen Angreifer dazu, sich dem Diebstahl von Sitzungen und einem umfassenderen Missbrauch des Identitätsökosystems zuzuwenden.
Der beispiellose Anstieg der Diebstähle von Anmeldedaten im Jahr 2025 zeigt zum einen, wie wertvoll diese Daten sind, signalisiert aber auch einen grundlegenden Wandel in der Art und Weise, wie Identitätsdiebstahl organisiert, monetarisiert und skaliert wird. Ein Markt, der einst auf Masseninfektionen und der Wiederverwendung von Passwörtern basierte, formiert sich neu zu einem strukturierteren, von Partnern getragenen Ökosystem, das auf Geschwindigkeit und Präzision optimiert ist.
Treiber dieses Wandels sind gleichermaßen strengere Sicherheitsmaßnahmen und die Innovationskraft der Angreifer. Da statische Anmeldedaten an Wert verlieren, konzentrieren sich Angreifer zunehmend auf Identitätsartefakte mit höherer Authentizität: Sitzungs-Tokens, Authentifizierungs-Cookies und Wiederherstellungs-Workflows, die auch in gehärteten Umgebungen ausnutzbar bleiben. Der Diebstahl von Zugangsdaten verschwindet nicht. Er wird strukturierter, selektiver und systematischer.
Traditioneller Credential-Diebstahl unrentabel
Jahrelang operierten Infostealer nach einem einfachen, auf Skaleneffekten basierenden kriminellen Modell. Die entsprechenden Kampagnen konzentrierten sich auf Masseninfektionen, die Erfassung großer Datenmengen und den Weiterverkauf. Botnetze verbreiteten Phishing- und Malware-Kampagnen, während automatisierte Credential-Stuffing-Angriffe Millionen von Anmeldeversuchen bei ungesicherten Diensten unternahmen.
Doch dieses Modell gerät nun unter dem anhaltenden Sicherheitsdruck ins Wanken. Fortschritte bei der E-Mail-Filterung und der Endpunktüberwachung haben jedoch die Lebensdauer wahlloser Kampagnen verkürzt und die Kosten für deren Aufrechterhaltung erhöht. Der operative Aufwand hat sich in der Folge erhöht und verursacht Reibungsverluste, die es in der Ära der einfachen Wiederverwendung von Anmeldedaten noch nicht gab. Ein groß angelegter Angriff ist nicht mehr mühelos durchzuführen. Veränderungen bei der Authentifizierung, die Marktsättigung und die Aktivitäten der Strafverfolgungsbehörden verändern die Art und Weise, wie der Diebstahl von Zugangsdaten organisiert und monetarisiert wird.
Der Passkey-Effekt
Eine Entwicklung, die diesen Wandel beschleunigt, ist der Aufstieg von Passkeys. Passkeys zielen auf den Kernmechanismus ab, der den Diebstahl von Passwörtern lukrativ gemacht hat: der Replay-Angriff. Der Mechanismus basiert auf den FIDO2- und WebAuthn-Standards und nutzt asymmetrische Kryptografie. Der private Schlüssel bleibt an das Gerät des Nutzers gebunden, während der öffentliche Schlüssel beim Dienst gespeichert ist. Es werden keine gemeinsamen Geheimnisse über das Netzwerk übertragen, und Anmeldedaten können nicht domänenübergreifend wiederverwendet werden. Dadurch können Phishing-Seiten sie nicht auf dieselbe Weise erfassen und wiederverwenden, wie dies bei Passwörtern möglich ist.
Diese architektonische Änderung schränkt die Skalierbarkeit von Credential-Stuffing- und Replay-Angriffen ein. Selbst wenn Endgeräte kompromittiert werden, ist es weitaus wahrscheinlicher, dass Angreifer Sitzungsartefakte in die Hände bekommen, als dass sie wiederverwendbare private Schlüssel extrahieren können. Die Anmeldedaten selbst lassen sich nicht ohne Weiteres missbrauchen.
Passkeys verhindern jedoch nicht die Übernahme von Konten. Sie verlagern sie lediglich. Angreifer verlagern ihre Aktivitäten auf Wiederherstellungsabläufe, den Diebstahl von Sitzungen, den Missbrauch von Geräteregistrierungen und die plattformübergreifende Manipulation von Vertrauensbeziehungen. Das Zeitalter der Passkeys verändert die Ökonomie der Angreifer. Der Erfolg hängt weniger vom Sammeln wiederverwendbarer Geheimnisse ab, sondern vielmehr von der Ausnutzung des umfassenderen Identitätsökosystems, das die moderne Authentifizierung umgibt.
Struktureller Vergleich
Als Reaktion darauf begann das Ökosystem der Infostealer, sich neu zu strukturieren. Rollen, die einst gebündelt waren, trennen sich nun. Log-Märkte ähneln zunehmend strukturierten Handelsplattformen statt einfachen Anzeigenbörsen. Aufgaben, die früher manuelles Sortieren oder Validieren erforderten, werden automatisiert. Was einst eine lose Ansammlung von Akteuren war, die gemeinsame Tools nutzten, beginnt nun, einem koordinierten System zu ähneln.
Die Veränderung im Ökosystem der Infostealer lässt sich am besten als struktureller Übergang von einem volumenorientierten Modell zu einem arbeitsablauforientierten Modell verstehen. Anstatt die Menge der gestohlenen Daten zu maximieren, legen Angreifer den Schwerpunkt darauf, wie auf Identitätsdaten zugegriffen wird, wie diese priorisiert und wie sie monetarisiert werden.
Dimension |
Altes Modell (Volumen-Ära) |
Entstehendes Modell (System-Ära) |
Primäres Ziel |
Massenhafte Erfassung von Anmeldedaten |
Monetarisierbarer Identitätszugang |
Diebesgut |
Passwörter, automatisches Ausfüllen, Cookies |
Sitzungstoken, vollständige Protokolle, kontextreiche Daten |
Operativer Schwerpunkt |
Skalierbarkeit |
Präzision + Geschwindigkeit |
Kampagnenmodell |
Opportunistische Masseninfektion |
Zielgerichtet + workflowgesteuert |
Verbreitungsmethoden |
Massen-Phishing, Exploit-Kits, Botnets |
Multi-Channel, gestaffelte Zustellung |
Monetarisierungsmodell |
Massenweiterverkauf |
Selektive Ausnutzung + Weiterverkauf |
Preislogik |
Mengenbasiert |
Wertbasiert |
Automatisierungsgrad |
Begrenzt (lieferorientiert) |
In den gesamten Workflow eingebettet |
Marktstruktur |
Fragmentierte Akteure |
Mehrschichtiges Ökosystem |
Wesentliche Einschränkung |
Ausmaß der Infektion |
Zeit bis zur Monetarisierung |
Wettbewerbsvorteil |
Vertriebsreichweite |
Effizienz der Arbeitsabläufe |
Tabelle 1. Vergleich der alten und neuen Wirtschaftsmodelle für Infostealer
Der entscheidende Unterschied liegt nicht darin, was gestohlen wird, sondern darin, wie schnell und effizient diese Daten in nutzbaren Zugriff umgewandelt werden.
Das Affiliate-Modell der Infostealer
2025 beobachteten wir das Aufkommen von Affiliate-Modellen, die denen von Ransomware-as-a-Service (RaaS)-Operationen sehr ähnlich sind. Partner werden mit dem Versprechen angeworben, an den Erlösen aus erfolgreichen Infostealer-Infektionen beteiligt zu werden. Die Betreiber stellen die Infrastruktur und die Malware-Builds bereit und behalten einen Prozentsatz der Einnahmen ein.
Die Umsatzbeteiligung kann bis zu 70 % bis 80 % für die Affiliates betragen. Dabei geht es um ein breiteres Service-Ökosystem, darunter Verschlüsselungsdienste, Malware-Entwickler und Initial Access Brokers (IABs). Im Gegensatz zum direkten Kauf von Malware bei einem Betreiber können Partner Infektionen direkt über eine verwaltete und kontrollierte Umgebung ohne Vorabkosten ausführen. Dieses Modell erfordert kein kostenpflichtiges Abonnement. Betreiber bauen die Plattform auf, Partner skalieren die Verbreitung, und Spezialisierung steigert die Effizienz.
Wir haben einige Beispiele für Entwickler von Infostealern mit Partnerprogrammen gefunden, darunter zuletzt das CLR-Team und das Roku-Team. Der Originalbeitrag beinhaltet eine Beschreibung dieser Programme.
Skalierungs- und Opferkennzahlen
Am Beispiel des Affiliate-Programms des CLR-Teams konnten wir Daten aus dem öffentlichen Log-Kanal auswerten und am stärksten betroffene Länder identifizieren.
Operative Spezialisierung
Anhand der Daten konnten wir zudem Kampagnencluster auf der Grundlage von Nutzer-Handles und Zeitstempeln der Nachrichten untersuchen. Die Analyse der Aktivitätsmuster ergab, dass die Akteure in drei Hauptgruppen eingeteilt werden konnten. Sie spiegeln Unterschiede in den operativen Rollen, dem Zugang zur Infrastruktur und den Kampagnenzielen innerhalb der Affiliate-Basis wider. Einige Akteure konzentrieren sich auf kurze, volumenstarke Kampagnen. Andere führen langsamere Kampagnen durch, die auf Beharrlichkeit und wiederholtes Targeting setzen. Diese vielfältige Verteilung spiegelt eher ein reifendes Ökosystem wider als das Wirken isolierter Akteure. Der Markt scheint in der Lage zu sein, Affiliates mit unterschiedlichen Betriebsmodellen zu unterstützen, von volumenstarken Kampagnen bis hin zu selektiveren, margenorientierten Ansätzen.
Was einst ein relativ einfaches Modell zur Infizierung von Systemen war – das Sammeln von Daten, das Auslesen von Protokollen und der Weiterverkauf von Zugriffsrechten –, zerfällt zunehmend in ein vielschichtiges Ökosystem aus spezialisierten Rollen und Diensten. Es sind spezielle Marktplätze entstanden, auf denen die Beute von Stealern gehandelt wird: strukturierte Protokolle mit gestohlenen Zugangsdaten, Sitzungs-Token und kontextbezogenen Opfern.
Plattformen wie RussianMarket und 2easy erleichtern den Verkauf kuratierter Protokolldatensätze und ermöglichen es Käufern, validierte Zugangsdaten mit minimalem Aufwand zu suchen und zu erwerben. Dabei handelt es sich nicht um einfache Dump-Boards, sondern um strukturierte Handelsumgebungen mit durchsuchbaren Beständen, festgelegten Preisen und klaren Produktkategorien.
Das Ausmaß und die Widerstandsfähigkeit dieser Märkte verstärken diesen Wandel. Selbst nach vielbeachteten Strafverfolgungsmaßnahmen, darunter die Zerschlagung der Marktplätze „Cracked“ und „Nulled im März 2025, wuchsen die Untergrundmärkte für Logs weiter, wobei ein dokumentiertes Wachstum bei den verfügbaren Logs und den dazugehörigen Tools zu verzeichnen war. Zudem sind weitere sekundäre Dienste entstanden, darunter Treuhandsysteme, Vorbestellungsfunktionen und Tools zur Log-Analyse, die Käufern helfen, funktionierende Anmeldedaten aus Rohdatensätzen zu extrahieren.
Das Ergebnis ist eine strukturelle Veränderung. Entwickler, Vertreiber, Access Broker und Marktplatzbetreiber agieren nun als eigenständige Knotenpunkte innerhalb einer koordinierten Wertschöpfungskette. Infostealer ähneln zunehmend organisierten Plattformen und weniger eigenständigen Malware-Familien.
Reibungspunkte
Der Druck zur Veränderung ist auch innerhalb des Ökosystems der Infostealer selbst spürbar. Strafverfolgungsmaßnahmen zeigen mittlerweile unmittelbare Auswirkungen auf den Betrieb, wobei die Partner oft schnell auf dasjenige konkurrierende Tool umsteigen, das am stabilsten erscheint. Der Originalbeitrag beschreibt ein Beispiel dafür aus dem Oktober 2024, als die niederländische Nationalpolizei, das FBI und Europol die Operation Magnus gegen RedLine und META Stealer durchführten. Das Ökosystem erwies sich als äußerst widerstandsfähig: Der Druck auf einen Stealer verlagerte die Aktivitäten schnell auf andere. Nur koordinierte Maßnahmen, die auf mehrere Familien abzielen, wie beispielsweise die Operation Endgame, haben das Potenzial, das Ökosystem umfassender zu stören.
Ein weiterer Teil des Beitrags zeigt, wie die Systeme für den Datendiebstahl aussehen, welche Rolle die KI dabei spielt und was Organisationen zu ihrem Schutz tun können.