Künstliche Intelligenz (KI)
Das neue Modell des Credential-Diebstahls
Credential Stealers entwickeln sich zu Systemen mit koordinierten Arbeitsabläufen und KI-Integration, die das Sammeln, Analysieren und Monetarisieren zu einem kontinuierlichen Prozess verbinden, wobei der Schwerpunkt nun auf Qualität und Verwertbarkeit statt Masse liegt.
- Automatisierung und KI senken die Hürden für den Identitätsmissbrauch in großem Maßstab und beschleunigen den Übergang von vereinzelten Maßnahmen hin zu zentral verwalteten Systemen.
- Agentische Systeme führen eine Koordinierungsebene ein, die spezialisierte Funktionen wie Phishing, Erkundung und den Einsatz von Payloads steuert. Dies spiegelt die Arbeitsteilung wider, die bereits in Partnerprogrammen für Infostealer zu beobachten ist.
- Die Abwehr identitätsbasierter Angriffssysteme hängt weitgehend von der Fähigkeit ab, Signale über Identitäts-, Endpunkt- und Kommunikationsebenen hinweg zu verknüpfen, Risiken anhand der Absichten der Angreifer zu priorisieren und schnell genug zu reagieren, um die Monetarisierung zu unterbinden, bevor sie stattfindet.
Verschärfte Sicherheitskontrollen, Veränderungen bei der Authentifizierung und andere Faktoren zwingen Infostealer-Operationen dazu, sich anzupassen. Ein groß angelegter Angriff ist nicht mehr mühelos durchzuführen. Veränderungen bei der Authentifizierung, die Marktsättigung und die Aktivitäten der Strafverfolgungsbehörden verändern die Art und Weise, wie der Diebstahl von Zugangsdaten organisiert und monetarisiert wird.
Dieser Wandel hin zu gezielteren Operationen ist nicht theoretischer Natur, sondern bereits im Gange. Teile des Infostealer-Workflows werden zunehmend automatisiert. Social Engineering zur Verbreitung von Infostealern nutzt mittlerweile KI-generierte Inhalte. Das Ergebnis sind eine schnellere Kampagnenvorbereitung und überzeugendere Köder, wodurch sich der Aufwand für die Vorbereitung neuer Operationen verringert.
Auch Profiling-Tools finden zunehmend Verbreitung. Gestohlene Log-Dateien können automatisch sortiert und mit öffentlich zugänglichen Informationen angereichert werden. Die Opfer lassen sich nach geografischer Lage, Gerätetyp, Plattformnutzung oder voraussichtlichem finanziellen Wert einstufen. Anstatt große Datensätze manuell zu prüfen, können die Betreiber nach Konten filtern, die besonders lukrativ erscheinen.
Automatisierungs-Frameworks helfen dabei, diese einzelnen Schritte miteinander zu verknüpfen. Log-Verwendung, Validierungsskripte, Anreicherungstools und Marktplatzangebote lassen sich zu einfachen Pipelines verknüpfen, so dass sich die Zeit zwischen Infektion, Analyse und Weiterverkauf verkürzt. Automatisierung hilft dabei, die Lücke zwischen Datendiebstahl und Monetarisierung zu schließen.
Der Übergang zu Agenten
Was früher mehrere Akteure erforderte – Verteilung, Protokollverarbeitung, Targeting – lässt sich zunehmend in einem einzigen Workflow abwickeln. Erste Anzeichen für diesen Wandel sind bereits außerhalb des kriminellen Ökosystems zu erkennen. Der Technologieanalyst Nate B. Jones hat einen „Phasenwechsel“ im Bereich des autonomen Programmierens beschrieben und darauf hingewiesen, dass Sitzungen, die vor einem Jahr noch innerhalb weniger Minuten fehlschlugen, nun wochenlang laufen und produktionsreife Software hervorbringen können. Der architektonische Sprung ist bedeutend, und seine Auswirkungen reichen über die legitime Entwicklung hinaus.
Ein Agent, der in der Lage ist, mehrstufige Abläufe kontinuierlich auszuführen, kann Ziele identifizieren, überzeugende Phishing-Köder erstellen, Infrastruktur bereitstellen und rotieren, Protokolle zu Anmeldedaten erfassen und bewerten, Querverweise zu hochwertigen Diensten herstellen und mit minimaler menschlicher Überwachung nachgelagerte Betrugsdelikte auslösen. Das Modell verlagert sich von einer arbeitsintensiven Koordination zwischen Programmierern, Vertreibern und Verarbeitern hin zu einem kontinuierlicheren und selbstgesteuerten Arbeitsablauf.
Die Konsequenzen liegen auf der Hand: Mit sinkenden Eintrittsbarrieren steigt das Volumen, ohne dass Kosten und Aufwand proportional zunehmen. Der immer kürzere Zeitraum zwischen Sicherheitsverletzung und Monetarisierung zwingt die Verteidiger dazu, sich einem Ökosystem zu stellen, das schneller und anpassungsfähiger agiert als je zuvor.
Vibecrime und kriminelle Orchestrierung
Eine aktuelle TrendAI™-Studie hob den Wandel von durch Menschen koordinierten Operationen hin zu einer agente-basierten, auf Systemebene stattfindenden Orchestrierung hervor. Die Studie zieht Parallelen zwischen Vibe Coding in der Softwareentwicklung (wo vorgegebene Absichten von autonomen Agenten in funktionierende Systeme umgesetzt werden) und dem, was sie als „Vibecrime“ im kriminellen Ökosystem bezeichnet. Vibecrime beschreibt mehr als nur KI-gestützte Angriffe, sondern weist auf einen strukturellen Wandel dafür hin, wer Operationen durchführen kann und in welchem Umfang.
Agentische Systeme führen eine Koordinierungsebene ein, die spezialisierte Funktionen wie Phishing, Erkundung und den Einsatz von Payloads steuert. Dies spiegelt die Arbeitsteilung wider, die bereits in Partnerprogrammen für Infostealer zu beobachten ist. Während Partnermodelle wie das des CLR-Teams separate menschliche Rollen erforderten – für die Verwaltung von Vertrieb, Payloads und Monetarisierung –, fassen agentische Arbeitsabläufe diese zu einem einzigen koordinierten Prozess zusammen. Dieser Wandel ist besonders angesichts der immer enger werdenden Margen für volumenbasierten Diebstahl relevant.
Agentenbasierte Systeme beschleunigen nicht nur bestehende Abläufe – sie verändern auch die Wirtschaftlichkeit von Modellen. TrendAI fasst diese Dynamik in den sogenannten „Drei Gesetzen der Cyberkriminalität“ zusammen: Eine rasche Änderung folgt, wenn ein etabliertes Modell an Wirksamkeit verliert und eine deutlich effizientere Alternative auftaucht. Beide Bedingungen sind derzeit gegeben. Affiliate-gesteuerte Arbeitsabläufe könnten die letzte menschenzentrierte Phase vor einer breiteren Einführung auf Systemebene darstellen, wobei die nächste Phase des Diebstahls von Zugangsdaten eher an System-Engineering als an traditionelle Malware-Operationen erinnert.
Diese Entwicklung lässt sich am besten als Kreislauf und nicht als Abfolge verstehen: Automatisierung steigert die Effizienz, Effizienz verändert die wirtschaftlichen Rahmenbedingungen für Angreifer, und diese veränderten Rahmenbedingungen fördern wiederum Operationen auf Systemebene.
Der autonome Identitätsangriffszyklus
Infostealer-gesteuerte Operationen sind zunehmend um einen wiederholbaren Zyklus herum organisiert: sammeln, analysieren, entscheiden, ausführen und lernen. Jede Phase existiert bereits in fragmentierter Form. Die Automatisierung beginnt nun, sie zu kohärenteren Arbeitsabläufen zu verknüpfen.
Die Datenerfassung bleibt der Einstiegspunkt. Infostealer liefern weiterhin in großem Umfang Anmeldedaten, Sitzungs-Token und Kontextdaten. Rohe Log-Daten allein reichen jedoch nicht mehr aus. Der Wert hängt nun davon ab, was extrahiert werden kann und wie schnell auf diesen Zugriff reagiert werden kann.
Es folgt die Analyse: Gestohlene Daten können automatisch mit öffentlichen Informationen, Verhaltensindikatoren und plattformspezifischen Signalen angereichert werden. Dies ermöglicht es den Betreibern, höherwertige Ziele zu identifizieren und zu priorisieren. Sie stützen sich dabei zunehmend auf Workflows mit automatisierter Filterung und Bewertung.
Entscheidungsfindung und Umsetzung sind eng miteinander verknüpft. Sobald Ziele identifiziert sind, können Systeme Phishing-Kampagnen, Köder zur Verbreitung von Infostealern, Versuche des Session-Hijacking oder Workflows zur Kontowiederherstellung auslösen.
Die letzte Phase ist das Lernen. Die Ergebnisse werden in das System zurückgespeist. Erfolgreiche Köder, effektive Targeting-Muster und profitable Opferprofile prägen zukünftige Aktivitäten, wobei diese Rückkopplungsschleife die Effizienz im Laufe der Zeit verstärkt.
Fazit
Die Entwicklung von Infostealern spiegelt einen umfassenderen Wandel in der Cyberkriminalität wider. Diese Veränderungen machen deutlich, dass die Prioritäten im Bereich der Verteidigung in Bezug auf Identitätsschutz, Sitzungsintegrität und Reaktionsgeschwindigkeit neu überdacht werden müssen.
Wichtige Prioritäten für Verteidiger
- Identitätsnutzung im Kontext betrachten: Der Diebstahl von Anmeldedaten ist der Einstiegspunkt. Die Erkennung muss sich darauf konzentrieren, wie Identitäten nach einer Kompromittierung genutzt werden, einschließlich Sitzungsverhalten, Authentifizierungsmustern und Wiederherstellungsabläufen. Diese Signale liefern frühzeitigere und zuverlässigere Hinweise auf Missbrauch als herkömmliche Warnmeldungen.
- Signale domänenübergreifend verknüpfen: Endpunktaktivitäten, Phishing-Exposition und Identitätsereignisse bilden in der Praxis eine einzige Angriffskette. Eine unzusammenhängende Sichtbarkeit verlangsamt die Reaktion und verschleiert die Absichten des Angreifers. Korrelierte Telemetriedaten ermöglichen die Rekonstruktion von Zugriffspfaden und die Identifizierung nachgelagerter Risiken.
- Priorisierung nach dem Wert für den Angreifer: Verteidiger müssen dieselbe Logik wie die Täter anwenden. Die Priorisierung sollte die Wahrscheinlichkeit einer Ausnutzung und die geschäftlichen Auswirkungen widerspiegeln, nicht das Volumen der Warnmeldungen.
- Beheben Sie die Ursache, nicht das Symptom: Das Zurücksetzen von Anmeldedaten oder das Isolieren von Geräten beseitigt den Zugriff nicht, wenn Sitzungen, Tokens oder alternative Pfade weiterhin aktiv sind. Die Reaktion muss alle möglichen Zugriffspfade beseitigen, bevor eine Monetarisierung stattfindet.
- Schließen Sie den Kreislauf durch Lernen: Jeder Vorfall deckt auf, wie der Zugriff erlangt und ausgenutzt wurde. Diese Informationen müssen in die Erkennung, die Identitätslage und das Expositionsmanagement zurückfließen. Ohne diese Rückkopplungsschleife bleiben dieselben Angriffspfade offen.
Die Abwehr identitätsbasierter Angriffssysteme hängt weitgehend von der Fähigkeit ab, Signale über Identitäts-, Endpunkt- und Kommunikationsebenen hinweg zu verknüpfen, Risiken anhand der Absichten der Angreifer zu priorisieren und schnell genug zu reagieren, um die Monetarisierung zu unterbinden, bevor sie stattfindet. Um dies effektiv zu erreichen, ist ein koordiniertes Sicherheitsmodell erforderlich, das folgende Anforderungen erfüllen muss:
- Aktivitäten über Identitäts-, Endpunkt- und Kommunikationsebenen hinweg korrelieren
- risikoreiche Identitäten und Zugriffspfade identifizieren
- Prioritäten auf der Grundlage der Ergebnisse der Angreifer setzen
- Reaktionen über alle relevanten Kontrollpunkte hinweg ermöglichen
- das Risiko auf der Grundlage beobachteter Angriffsmuster kontinuierlich verringern
Plattformen, die diese Funktionen vereinen, ermöglichen es Sicherheitsverantwortlichen, von reaktiven Untersuchungen zu einer Störung auf Systemebene überzugehen. Die Umsetzung in die Praxis erfordert Änderungen in der Arbeitsweise von Sicherheitsteams.
Die TrendAI Vision One™-Plattform wurde entwickelt, um dieses Modell zu unterstützen. Sie integriert Identitäts-, Endpunkt-, E-Mail-, Expositionsmanagement und Bedrohungsinformationen in einer einzigen operativen Ansicht, um Unternehmen dabei zu helfen, identitätsgesteuerte Angriffssysteme zu erkennen, zu priorisieren und zu stören.