Die heimlichen Herrscher des Datendiebstahls

Das Feld der Infostealer wird von wenigen, hochentwickelten Malware-Familien beherrscht. Die aktuelle Verteilung der Infektionen verdeutlicht die Vormachtstellung von Lumma und RedLine:

Diese Zahlen machen die Dominanz von Lumma deutlich, dessen Anteil mehr als die Hälfte aller erfassten Infektionen ausmacht.

RedLine: Das MaaS-Imperium

RedLine ist ein Paradebeispiel für das Malware-as-a-Service (MaaS) -Geschäftsmodell. Erstmals 2020 entdeckt, können interessierte Kriminelle (sogenannte Affiliates) eine schlüsselfertige Infostealer-Lösung in Online-Foren und Telegram-Kanälen erwerben. Gegen eine monatliche Gebühr oder eine einmalige Zahlung für eine lebenslange Lizenz erhalten sie ein Control Panel, das personalisierte Malware-Samples erstellt und als Command-&-Control-Server fungiert.

• Internationale Zerschlagung: Diese Erfolgsgeschichte fand im Oktober 2024 vorerst ein Ende. Die internationale Aktion „Operation Magnus“, koordiniert unter anderem vom FBI und Eurojust, zerschlug die Infrastruktur von RedLine und seinem Klon META Stealer. ESET-Forscher, die an der Aktion beteiligt waren, identifizierten über 1000 eindeutige IP-Adressen, die zum Hosten von RedLine Control Panels dienten.

Lumma: Der phoenixgleiche Marktführer

Trotz der offiziellen Zerschlagung seiner IT-Infrastruktur im Mai 2025 ist Lumma nicht verschwunden. Ganz im Gegenteil: Mit 55 % aller Infektionen ist Lumma aktuell der mit Abstand dominanteste Infostealer. Diese Resilienz ist bezeichnend für die Anpassungsfähigkeit dieses Ökosystems.

• Techniken und Verbreitung: Lumma nutzt effektives Social Engineering, anstatt technische Schwachstellen auszunutzen. Besonders perfide ist die Masche mit gefälschten CAPTCHAs: Nutzer werden auf manipulierten Webseiten dazu verleitet, per Tastenkombination Win+R einen PowerShell-Befehl auszuführen, der Lumma installiert. Der modulare Loader „CastleLoader“ spielt dabei eine zentrale Rolle und zeichnet sich durch speicherbasierte Ausführung und starke Verschleierung aus.
• Antianalytische Fähigkeiten: Lumma ist darauf ausgelegt, virtuelle Maschinen und Sandbox-Umgebungen zu erkennen, um der Analyse durch Sicherheitssysteme zu entgehen. Zudem nutzt es Techniken wie „Heaven’s Gate“ , um Sicherheitssoftware zu verwirren.

Vidar: Der stillvolle Nachfolger

Vidar existiert seit 2018 im Cyberkriminalitäts-Ökosystem, jedoch hat es die Lücke, die durch die Zerschlagung von Lumma und Rhadamanthys entstand, optimal genutzt. Aktuell ist Vidar für etwa 10 % der Infektionen verantwortlich, ein Wert, der voraussichtlich steigen wird.

• Die 2.0-Upgrades: Der große Sprung gelang mit der Veröffentlichung von Vidar 2.0 im Oktober 2025. Der Entwickler „Loadbaks“ kündigte eine komplette Neufassung von C++ auf C an, was immense Stabilitäts- und Geschwindigkeitsgewinne bringen soll. Die neue Multithreading-Architektur ermöglicht es, Daten aus verschiedenen Quellen parallel zu stehlen, was den Prozess massiv beschleunigt.
• Steganografie und Dateilosigkeit: Vidar nutzt fortschrittliche Tarnung. Hacker verstecken bösartigen Code in alltäglichen Dateien wie JPEG-Bildern und Textdokumenten mittels Steganografie. Die Malware wird direkt im Arbeitsspeicher rekonstruiert und ausgeführt, ein dateiloser Ansatz, der herkömmliche Virenscanner leicht umgehen kann.

Hinter den Kulissen: Das Geschäftsmodell und die Monetarisierung

Infostealer sind kein Selbstzweck, sondern Teil einer hochprofitableren, organisierten kriminellen Wertschöpfungskette. Dieser Wirtschaftszweig setzt auf Effizienz und Spezialisierung:

Die Komplexität und Professionalität dieser Lieferkette unterstreicht, warum einfache technische Gegenmaßnahmen allein nicht ausreichen.

Die große Täuschung: Warum MFA nicht ausreicht

Eine der beunruhigendsten Entwicklungen ist, wie moderne Infostealer die Multi-Faktor-Authentifizierung (MFA) aushebeln. Sie stehlen nicht nur Passwörter, sondern auch die aktiven Sitzungs-Cookies. Ein Angreifer kann diese Cookies in seinen eigenen Browser importieren und ist dann ohne erneute Passwort- oder MFA-Eingabe direkt im Konto des Opfers angemeldet. Die MFA, ob SMS-Code oder Authenticator-App, wird dadurch vollständig umgangen. Ein ungewöhnlicher Login ohne vorherige MFA-Aufforderung sollte daher stets ein klares Alarmsignal sein.

Ausblick: Die Stunde der Identität

Die Zukunft der Cybersicherheit wird nicht mehr primär um das Netzwerk, sondern um die Identität kreisen. Infostealer sind das Werkzeug der Wahl, um diese Identitäten zu stehlen. Der Kampf gegen diese Bedrohung erfordert eine grundlegende Änderung der Strategie:

• Zero-Trust-Architekturen: Unternehmen müssen dem Grundsatz „never trust, always verify“ folgen. Jede Zugriffsanfrage, auch aus dem internen Netzwerk, muss kontinuierlich überprüft werden.
• Passwortlose Authentifizierung: Die Reduzierung von dauerhaften Geheimnissen (Passwörtern) durch biometrische Daten oder Hardware-Token verringert die Angriffsfläche.
• Automatisierte Bedrohungserkennung: Systeme, die verdächtige Aktivitäten wie ungewöhnliche Standorte oder abweichendes Nutzerverhalten in Echtzeit erkennen können.
• Kontinuierliches Credential-Monitoring: Dienste, die regelmäßig prüfen, ob die eigenen Zugangsdaten in aktuellen Stealer-Logs aufgetaucht sind.

Die Infostealer-Malware ist zu einem der größten strukturellen Probleme der modernen Cybersicherheit geworden. Sie agiert als systemischer Parasit, der das Fundament unseres digitalen Vertrauens – die gesicherte Identität – aushöhlt. Ein Umdenken ist dringend notwendig: Die Grenzen unserer Netzwerke sind irrelevant, wenn der Feind bereits die Schlüssel zur Haustür besitzt.

Quellen

1. KELA: State of Cybercrime 2026.
2. Cybernews: A sneaky cyber enemy is creeping into our browsers and password managers (April 2026).
3. ESET Research: Life on a crooked RedLine: Analyzing the infamous infostealer’s backend (November 2024) / RedLine Stealer: Analyse eines berüchtigten Datendiebes (November 2024).
4. Bitdefender Labs: LummaStealer’s Second Life: CastleLoader Emerges After Disruption (March 2026).
5. Security Insider: LummaStealer kehrt zurück: Social Engineering statt Exploits (März 2026).
6. Malwarebytes: Gehackte Websites verbreiten den Infostealer „Vidar“ unter Windows (März 2026).
7. SC Media: Vidar infostealer evolves, uses image files for stealthy attacks (April 2026).
8. Trellix Advanced Research Center: Unmasking the Evolving Threat: A Deep Dive into the Latest Version of Lumma InfoStealer (April 2025).
9. Trend Micro: How Vidar Stealer 2.0 Upgrades Infostealer Capabilities (Oktober 2025).
10. Infosecurity Magazine: Lumma Stealer Vacuum Filled by Upgraded Vidar 2.0 Infostealer (Oktober 2025).
11. Intrinsec: Vidar – The new king of the infostealer ecosystem (April 2026).
12. Pen Test Partners: 2025, the year of the Infostealer (Januar 2026).
13. SOCRadar: Identity Threat Intelligence Report: How Infostealer Malware Is Reshaping Cyber Risk? (März 2026).
14. IT Daily: 4 Millionen Geräte von Infostealern befallen (Mai 2026).