Infostealer infizieren Geräte, um sensible Anmeldeinformationen zu stehlen und im Darknet zu verbreiten. Die beliebteste Domain für Infostealer-Aktivitäten im vergangenen Jahr war laut einer Kaspersky-Analyse ".com" mit fast 326 Millionen Accountdaten, gefolgt von Brasilien mit 28 Millionen und Indien mit acht Millionen. Die deutsche Domain belegte mit rund 2,7 Millionen Account-Kompromittierungen den 19. Platz. Weltweit wurden in den vergangenen fünf Jahren Zugangsdaten von 443.000 Webseiten kompromittiert.
 
Darknet-Markt für datenstehlende Malware wächst
 
Im vergangenen Jahr zeichnete die Malware Redline sich für über die Hälfte der Infostealer-Angriffe (55 Prozent) verantwortlich; zwischen 2020 und 2023 waren es 51 Prozent. Gleichzeitig stieg währenddessen der Anteil an Infektionen durch neue Infostealer von vier auf 28 Prozent. Zu den verbreitetsten der insgesamt rund 100 verschiedenen entdeckten Infostealer-Arten im Untersuchungszeitraum zählten Vidar (17 Prozent) und Raccoon (fast 12 Prozent). Bei über sechs Prozent aller datenstehlenden Infektionen im vergangenen Jahr handelte es sich um die neue Lumma-Malware.

"Lumma entstand 2022 und wurde 2023 durch die Verbreitung als Malware-as-a-Service (MaaS) populär. Das bedeutet jeder Kriminelle kann auch ohne große technische Fähigkeiten ein Abo für eine vorgefertigte schädliche Lösung kaufen und diesen Stealer für Cyberangriffe benutzen. Lumma wurde hauptsächlich entwickelt, um Zugangsdaten und andere Informationen aus Krypto-Wallets zu stehlen und verbreitet sich meist über E-Mail, Youtube und Spam-Kampagnen auf Discord", erklärt Sergey Shcherbel, Experte bei Kaspersky Digital Footprint Intelligence.
 
16 Millionen Konto-Leaks im Jahr 2023
 
Obwohl 2023 im Vergleich zum Vorjahr insgesamt neun Prozent weniger Protokolldateien entdeckt wurden, lässt dies nicht auf eine gesunkene Nachfrage nach Passwörtern und Benutzernamen schließen. Cyberkriminelle könnten Zugänge, die im vergangenen Jahr gestohlen wurden, erst dieses Jahr im Darknet handeln, weshalb die Gesamtanzahl kompromittierter Accountinformationen im Jahr 2023 nach Schätzungen der Kaspersky-Experten ungefähr 16 Millionen betragen dürfte.

"Der Wert von Protokolldateien mit Zugangsdaten im Darknet hängt davon ab, wie attraktiv die Daten sind und wie sie dort verkauft werden. Anmeldeinformationen können über einen Abo-Service mit regelmäßigen Uploads, einen sogenannten 'Aggregator' für spezifische Anfragen oder über einen 'Shop', der kürzlich erworbene Login-Daten exklusiv an ausgewählte Interessenten verkauft, veräußert werden. Die Preise in diesen Shops starten typischerweise bei 10 US-Dollar pro Protokolldatei. Account-Leaks sind eine große Bedrohung, weil Cyberkriminelle hierdurch Angriffsarten wie unbefugten Zugang zum Diebstahl, Social Engineering oder Identitätsdiebstahl ausführen können", kommentiert Sergey Shcherbel, Experte bei Kaspersky Digital Footprint Intelligence.