{"id":5104,"date":"2026-06-01T16:43:59","date_gmt":"2026-06-01T14:43:59","guid":{"rendered":"https:\/\/g7itchme.wordpress.com\/?p=5104"},"modified":"2026-06-01T16:43:59","modified_gmt":"2026-06-01T14:43:59","slug":"die-heimlichen-herrscher-des-datendiebstahls","status":"publish","type":"post","link":"https:\/\/technodidact.de\/en\/die-heimlichen-herrscher-des-datendiebstahls\/","title":{"rendered":"Die heimlichen Herrscher des Datendiebstahls"},"content":{"rendered":"<p class=\"wp-block-paragraph\">Das Feld der Infostealer wird von wenigen, hochentwickelten Malware-Familien beherrscht. Die aktuelle Verteilung der Infektionen verdeutlicht die Vormachtstellung von&nbsp;<strong>Lumma<\/strong>&nbsp;und&nbsp;<strong>RedLine<\/strong>:<\/p>\n\n\n\n<figure class=\"wp-block-table\"><table class=\"has-fixed-layout\"><thead><tr><th class=\"has-text-align-left\" data-align=\"left\">Malware-Familie<\/th><th class=\"has-text-align-left\" data-align=\"left\">Anteil an den Infektionen (2026)<a href=\"https:\/\/www.it-daily.net\/shortnews\/4-millionen-geraete-infostealer\" target=\"_blank\" rel=\"noopener\"><\/a><\/th><\/tr><\/thead><tbody><tr><td><strong>Lumma<\/strong><\/td><td>55,0 %<\/td><\/tr><tr><td>Redline<\/td><td>25,0 %<\/td><\/tr><tr><td>Vidar<\/td><td>10,0 %<\/td><\/tr><tr><td>Acreed<\/td><td>3,6 %<\/td><\/tr><tr><td>StealC<\/td><td>3,0 %<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<p class=\"wp-block-paragraph\">Diese Zahlen machen die Dominanz von Lumma deutlich, dessen Anteil mehr als die H\u00e4lfte aller erfassten Infektionen ausmacht.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><strong>RedLine: Das MaaS-Imperium<\/strong><\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">RedLine ist ein Paradebeispiel f\u00fcr das&nbsp;<strong>Malware-as-a-Service (MaaS)<\/strong>&nbsp;-Gesch\u00e4ftsmodell. Erstmals 2020 entdeckt, k\u00f6nnen interessierte Kriminelle (sogenannte Affiliates) eine schl\u00fcsselfertige Infostealer-L\u00f6sung in Online-Foren und Telegram-Kan\u00e4len erwerben<a href=\"https:\/\/www.welivesecurity.com\/de\/eset-research\/redline-stealer-analyse-eines-beruchtigten-datendiebes\/\" target=\"_blank\" rel=\"noopener\"><\/a>. Gegen eine monatliche Geb\u00fchr oder eine einmalige Zahlung f\u00fcr eine lebenslange Lizenz erhalten sie ein Control Panel, das personalisierte Malware-Samples erstellt und als Command-&amp;-Control-Server fungiert<a href=\"https:\/\/www.welivesecurity.com\/en\/eset-research\/life-crooked-redline-analyzing-infamous-infostealers-backend\/?&amp;web_view=true\" target=\"_blank\" rel=\"noopener\"><\/a>.<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Internationale Zerschlagung<\/strong>: Diese Erfolgsgeschichte fand im Oktober 2024 vorerst ein Ende. Die internationale Aktion\u00a0<strong>&#8222;Operation Magnus&#8220;<\/strong>, koordiniert unter anderem vom FBI und Eurojust, zerschlug die Infrastruktur von RedLine und seinem Klon META Stealer<a href=\"https:\/\/www.welivesecurity.com\/de\/eset-research\/redline-stealer-analyse-eines-beruchtigten-datendiebes\/\" target=\"_blank\" rel=\"noopener\"><\/a>. ESET-Forscher, die an der Aktion beteiligt waren, identifizierten \u00fcber 1000 eindeutige IP-Adressen, die zum Hosten von RedLine Control Panels dienten<a href=\"https:\/\/www.welivesecurity.com\/en\/eset-research\/life-crooked-redline-analyzing-infamous-infostealers-backend\/?&amp;web_view=true\" target=\"_blank\" rel=\"noopener\"><\/a>.<\/li>\n<\/ul>\n\n\n\n<h3 class=\"wp-block-heading\"><strong>Lumma: Der phoenixgleiche Marktf\u00fchrer<\/strong><\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Trotz der offiziellen Zerschlagung seiner IT-Infrastruktur im Mai 2025 ist Lumma nicht verschwunden<a href=\"https:\/\/www.security-insider.de\/lummastealer-zurueck-social-engineering-castleloader-gefaelschte-captchas-a-d13ac25a8254bfe1be17868f5d5339bb\/?cflt=rel\" target=\"_blank\" rel=\"noopener\"><\/a>. Ganz im Gegenteil: Mit&nbsp;<strong>55 %<\/strong>&nbsp;aller Infektionen ist Lumma aktuell der mit Abstand dominanteste Infostealer<a href=\"https:\/\/www.it-daily.net\/shortnews\/4-millionen-geraete-infostealer\" target=\"_blank\" rel=\"noopener\"><\/a>. Diese Resilienz ist bezeichnend f\u00fcr die Anpassungsf\u00e4higkeit dieses \u00d6kosystems.<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Techniken und Verbreitung<\/strong>: Lumma nutzt effektives\u00a0<strong>Social Engineering<\/strong>, anstatt technische Schwachstellen auszunutzen<a href=\"https:\/\/www.security-insider.de\/lummastealer-zurueck-social-engineering-castleloader-gefaelschte-captchas-a-d13ac25a8254bfe1be17868f5d5339bb\/?cflt=rel\" target=\"_blank\" rel=\"noopener\"><\/a>. Besonders perfide ist die Masche mit\u00a0<strong>gef\u00e4lschten CAPTCHAs<\/strong>: Nutzer werden auf manipulierten Webseiten dazu verleitet, per Tastenkombination\u00a0<code>Win+R<\/code>\u00a0einen PowerShell-Befehl auszuf\u00fchren, der Lumma installiert<a href=\"https:\/\/www.malwarebytes.com\/de\/blog\/threat-intel\/2026\/03\/hacked-sites-deliver-vidar-infostealer-to-windows-users\" target=\"_blank\" rel=\"noopener\"><\/a><a href=\"https:\/\/www.csk.gov.in\/alerts\/Lumma_infostealer.html\" target=\"_blank\" rel=\"noopener\"><\/a>. Der modulare Loader &#8222;CastleLoader&#8220; spielt dabei eine zentrale Rolle und zeichnet sich durch speicherbasierte Ausf\u00fchrung und starke Verschleierung aus<a href=\"https:\/\/www.security-insider.de\/lummastealer-zurueck-social-engineering-castleloader-gefaelschte-captchas-a-d13ac25a8254bfe1be17868f5d5339bb\/?cflt=rel\" target=\"_blank\" rel=\"noopener\"><\/a>.<\/li>\n\n\n\n<li><strong>Antianalytische F\u00e4higkeiten<\/strong>: Lumma ist darauf ausgelegt, virtuelle Maschinen und Sandbox-Umgebungen zu erkennen, um der Analyse durch Sicherheitssysteme zu entgehen. Zudem nutzt es Techniken wie\u00a0<strong>&#8222;Heaven&#8217;s Gate&#8220;<\/strong>\u00a0, um Sicherheitssoftware zu verwirren<a href=\"https:\/\/www.trellix.com\/en-in\/blogs\/research\/lumma-stealer-analysis\/\" target=\"_blank\" rel=\"noopener\"><\/a>.<\/li>\n<\/ul>\n\n\n\n<h3 class=\"wp-block-heading\"><strong>Vidar: Der stillvolle Nachfolger<\/strong><\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Vidar existiert seit 2018 im Cyberkriminalit\u00e4ts-\u00d6kosystem, jedoch hat es die L\u00fccke, die durch die Zerschlagung von Lumma und Rhadamanthys entstand, optimal genutzt<a href=\"https:\/\/www.darkreading.com\/vulnerabilities-threats\/vidar-top-chaotic-infostealer-market\" target=\"_blank\" rel=\"noopener\"><\/a>. Aktuell ist Vidar f\u00fcr etwa&nbsp;<strong>10 %<\/strong>&nbsp;der Infektionen verantwortlich, ein Wert, der voraussichtlich steigen wird<a href=\"https:\/\/www.it-daily.net\/shortnews\/4-millionen-geraete-infostealer\" target=\"_blank\" rel=\"noopener\"><\/a>.<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Die 2.0-Upgrades<\/strong>: Der gro\u00dfe Sprung gelang mit der Ver\u00f6ffentlichung von\u00a0<strong>Vidar 2.0<\/strong>\u00a0im Oktober 2025. Der Entwickler &#8222;Loadbaks&#8220; k\u00fcndigte eine komplette Neufassung von C++ auf\u00a0<strong>C<\/strong>\u00a0an, was immense Stabilit\u00e4ts- und Geschwindigkeitsgewinne bringen soll<a href=\"https:\/\/www.infosecurity-magazine.com\/news\/lumma-stealer-vacuum-filled-vidar-2\/\" target=\"_blank\" rel=\"noopener\"><\/a>. Die neue\u00a0<strong>Multithreading-Architektur<\/strong>\u00a0erm\u00f6glicht es, Daten aus verschiedenen Quellen parallel zu stehlen, was den Prozess massiv beschleunigt<a href=\"https:\/\/www.infosecurity-magazine.com\/news\/lumma-stealer-vacuum-filled-vidar-2\/\" target=\"_blank\" rel=\"noopener\"><\/a>.<\/li>\n\n\n\n<li><strong>Steganografie und Dateilosigkeit<\/strong>: Vidar nutzt fortschrittliche Tarnung. Hacker verstecken b\u00f6sartigen Code in allt\u00e4glichen Dateien wie\u00a0<strong>JPEG-Bildern und Textdokumenten<\/strong>\u00a0mittels Steganografie<a href=\"https:\/\/www.scworld.com\/brief\/vidar-infostealer-evolves-uses-image-files-for-stealthy-attacks\" target=\"_blank\" rel=\"noopener\"><\/a>. Die Malware wird direkt im Arbeitsspeicher rekonstruiert und ausgef\u00fchrt, ein\u00a0<strong>dateiloser Ansatz<\/strong>, der herk\u00f6mmliche Virenscanner leicht umgehen kann<a href=\"https:\/\/www.scworld.com\/brief\/vidar-infostealer-evolves-uses-image-files-for-stealthy-attacks\" target=\"_blank\" rel=\"noopener\"><\/a>.<\/li>\n<\/ul>\n\n\n\n<h3 class=\"wp-block-heading\"><strong>Hinter den Kulissen: Das Gesch\u00e4ftsmodell und die Monetarisierung<\/strong><\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Infostealer sind kein Selbstzweck, sondern Teil einer hochprofitableren, organisierten kriminellen Wertsch\u00f6pfungskette. Dieser Wirtschaftszweig setzt auf Effizienz und Spezialisierung:<\/p>\n\n\n\n<figure class=\"wp-block-table\"><table class=\"has-fixed-layout\"><thead><tr><th class=\"has-text-align-left\" data-align=\"left\">Phase<\/th><th class=\"has-text-align-left\" data-align=\"left\">Beschreibung<\/th><th class=\"has-text-align-left\" data-align=\"left\">Beispiel<\/th><\/tr><\/thead><tbody><tr><td><strong>1. Bereitstellung (MaaS)<\/strong><\/td><td>Malware-Entwickler bieten ihre Produkte (Lumma, Vidar, etc.) im Abo-Modell an.<\/td><td>Affiliates kaufen Zugang zu einem fertigen Infostealer mit Control Panel.<\/td><\/tr><tr><td><strong>2. Verbreitung (Infektion)<\/strong><\/td><td>Affiliates verbreiten die Malware via Phishing, Social Engineering (z.B. Fake-CAPTCHAs) oder Exploit-Kits.<\/td><td>Ein Nutzer wird auf einer kompromittierten Website get\u00e4uscht und f\u00fchrt einen sch\u00e4dlichen Befehl aus.<\/td><\/tr><tr><td><strong>3. Datenernte &amp; -exfiltration<\/strong><\/td><td>Der Infostealer extrahiert lokal gespeicherte Credentials, Cookies, Krypto-Keys etc.<\/td><td>Die Malware stiehlt Sitzungstokens eines E-Mail-Kontos.<\/td><\/tr><tr><td><strong>4. Verkauf &amp; Handel<\/strong><\/td><td>Gestohlene Logs werden auf Darknet-M\u00e4rkten (wie dem &#8222;Russian Market&#8220;) versteigert.<\/td><td>Ein Stealer-Log mit Zugang zu einem Firmen-VPN wird f\u00fcr mehrere tausend Dollar gehandelt.<\/td><\/tr><tr><td><strong>5. Folgesch\u00e4den<\/strong><\/td><td>K\u00e4ufer nutzen die Zug\u00e4nge f\u00fcr Identit\u00e4tsdiebstahl, Ransomware oder Industriespionage.<\/td><td>Ein Ransomware-Betreiber verschl\u00fcsselt \u00fcber das gekaperte VPN das gesamte Firmennetzwerk.<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<p class=\"wp-block-paragraph\">Die Komplexit\u00e4t und Professionalit\u00e4t dieser Lieferkette unterstreicht, warum einfache technische Gegenma\u00dfnahmen allein nicht ausreichen.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><strong>Die gro\u00dfe T\u00e4uschung: Warum MFA nicht ausreicht<\/strong><\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Eine der beunruhigendsten Entwicklungen ist, wie moderne Infostealer die&nbsp;<strong>Multi-Faktor-Authentifizierung (MFA)<\/strong>&nbsp;aushebeln. Sie stehlen nicht nur Passw\u00f6rter, sondern auch die&nbsp;<strong>aktiven Sitzungs-Cookies<\/strong><a href=\"https:\/\/www.it-daily.net\/shortnews\/4-millionen-geraete-infostealer\" target=\"_blank\" rel=\"noopener\"><\/a>. Ein Angreifer kann diese Cookies in seinen eigenen Browser importieren und ist dann ohne erneute Passwort- oder MFA-Eingabe direkt im Konto des Opfers angemeldet. Die MFA, ob SMS-Code oder Authenticator-App, wird dadurch vollst\u00e4ndig umgangen. Ein ungew\u00f6hnlicher Login ohne vorherige MFA-Aufforderung sollte daher stets ein klares Alarmsignal sein<a href=\"https:\/\/www.it-daily.net\/shortnews\/4-millionen-geraete-infostealer\" target=\"_blank\" rel=\"noopener\"><\/a>.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><strong>Ausblick: Die Stunde der Identit\u00e4t<\/strong><\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Die Zukunft der Cybersicherheit wird nicht mehr prim\u00e4r um das Netzwerk, sondern um die&nbsp;<strong>Identit\u00e4t<\/strong>&nbsp;kreisen<a href=\"https:\/\/socradar.io\/blog\/identity-threat-intelligence-report-malware\/\" target=\"_blank\" rel=\"noopener\"><\/a>. Infostealer sind das Werkzeug der Wahl, um diese Identit\u00e4ten zu stehlen. Der Kampf gegen diese Bedrohung erfordert eine grundlegende \u00c4nderung der Strategie:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Zero-Trust-Architekturen<\/strong>: Unternehmen m\u00fcssen dem Grundsatz &#8222;never trust, always verify&#8220; folgen. Jede Zugriffsanfrage, auch aus dem internen Netzwerk, muss kontinuierlich \u00fcberpr\u00fcft werden.<\/li>\n\n\n\n<li><strong>Passwortlose Authentifizierung<\/strong>: Die Reduzierung von dauerhaften Geheimnissen (Passw\u00f6rtern) durch biometrische Daten oder Hardware-Token verringert die Angriffsfl\u00e4che.<\/li>\n\n\n\n<li><strong>Automatisierte Bedrohungserkennung<\/strong>: Systeme, die verd\u00e4chtige Aktivit\u00e4ten wie ungew\u00f6hnliche Standorte oder abweichendes Nutzerverhalten in Echtzeit erkennen k\u00f6nnen.<\/li>\n\n\n\n<li><strong>Kontinuierliches Credential-Monitoring<\/strong>: Dienste, die regelm\u00e4\u00dfig pr\u00fcfen, ob die eigenen Zugangsdaten in aktuellen Stealer-Logs aufgetaucht sind.<\/li>\n<\/ul>\n\n\n\n<p class=\"wp-block-paragraph\">Die Infostealer-Malware ist zu einem der gr\u00f6\u00dften strukturellen Probleme der modernen Cybersicherheit geworden. Sie agiert als systemischer Parasit, der das Fundament unseres digitalen Vertrauens \u2013 die gesicherte Identit\u00e4t \u2013 aush\u00f6hlt. Ein Umdenken ist dringend notwendig: Die Grenzen unserer Netzwerke sind irrelevant, wenn der Feind bereits die Schl\u00fcssel zur Haust\u00fcr besitzt.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Quellen<\/strong><\/p>\n\n\n\n<ol start=\"1\" class=\"wp-block-list\">\n<li>KELA: State of Cybercrime 2026.<\/li>\n\n\n\n<li>Cybernews: A sneaky cyber enemy is creeping into our browsers and password managers (April 2026).<\/li>\n\n\n\n<li>ESET Research: Life on a crooked RedLine: Analyzing the infamous infostealer\u2019s backend (November 2024) \/ RedLine Stealer: Analyse eines ber\u00fcchtigten Datendiebes (November 2024).<\/li>\n\n\n\n<li>Bitdefender Labs: LummaStealer&#8217;s Second Life: CastleLoader Emerges After Disruption (March 2026).<\/li>\n\n\n\n<li>Security Insider: LummaStealer kehrt zur\u00fcck: Social Engineering statt Exploits (M\u00e4rz 2026).<\/li>\n\n\n\n<li>Malwarebytes: Gehackte Websites verbreiten den Infostealer \u201eVidar\u201c unter Windows (M\u00e4rz 2026).<\/li>\n\n\n\n<li>SC Media: Vidar infostealer evolves, uses image files for stealthy attacks (April 2026).<\/li>\n\n\n\n<li>Trellix Advanced Research Center: Unmasking the Evolving Threat: A Deep Dive into the Latest Version of Lumma InfoStealer (April 2025).<\/li>\n\n\n\n<li>Trend Micro: How Vidar Stealer 2.0 Upgrades Infostealer Capabilities (Oktober 2025).<\/li>\n\n\n\n<li>Infosecurity Magazine: Lumma Stealer Vacuum Filled by Upgraded Vidar 2.0 Infostealer (Oktober 2025).<\/li>\n\n\n\n<li>Intrinsec: Vidar \u2013 The new king of the infostealer ecosystem (April 2026).<\/li>\n\n\n\n<li>Pen Test Partners: 2025, the year of the Infostealer (Januar 2026).<\/li>\n\n\n\n<li>SOCRadar: Identity Threat Intelligence Report: How Infostealer Malware Is Reshaping Cyber Risk? (M\u00e4rz 2026).<\/li>\n\n\n\n<li>IT Daily: 4 Millionen Ger\u00e4te von Infostealern befallen (Mai 2026).<\/li>\n<\/ol>","protected":false},"excerpt":{"rendered":"<p>Das Feld der Infostealer wird von wenigen, hochentwickelten Malware-Familien beherrscht. Die aktuelle Verteilung der Infektionen verdeutlicht die Vormachtstellung von&nbsp;Lumma&nbsp;und&nbsp;RedLine: Malware-Familie Anteil an den Infektionen (2026) Lumma 55,0 % Redline 25,0 % Vidar 10,0 % Acreed 3,6 % StealC 3,0 % Diese Zahlen machen die Dominanz von Lumma deutlich, dessen Anteil mehr als die H\u00e4lfte aller [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[41,17],"tags":[1311,1656,3322,4249,4312,5781,7452],"class_list":["post-5104","post","type-post","status-publish","format-standard","hentry","category-digitalkultur","category-im-herz","tag-credential-theft","tag-digitale-identitat","tag-infostealer","tag-lumma-stealer","tag-malware-as-a-service","tag-redline-malware","tag-vidar-malware"],"_links":{"self":[{"href":"https:\/\/technodidact.de\/en\/wp-json\/wp\/v2\/posts\/5104","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/technodidact.de\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/technodidact.de\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/technodidact.de\/en\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/technodidact.de\/en\/wp-json\/wp\/v2\/comments?post=5104"}],"version-history":[{"count":0,"href":"https:\/\/technodidact.de\/en\/wp-json\/wp\/v2\/posts\/5104\/revisions"}],"wp:attachment":[{"href":"https:\/\/technodidact.de\/en\/wp-json\/wp\/v2\/media?parent=5104"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/technodidact.de\/en\/wp-json\/wp\/v2\/categories?post=5104"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/technodidact.de\/en\/wp-json\/wp\/v2\/tags?post=5104"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}