Infostealer: 24 Milliarden Datensätze in öffentlicher Datenbank

Millionen von Computern sind durch riskantes User-Verhalten gefährdet. Eine neue Analyse zeigt, dass die meisten Infostealer-Infektionen auf eigene Fehler zurückgehen.

Eine aktuelle Untersuchung des Sicherheitsunternehmens Kaspersky hat erschreckende Details zutage gefördert: Das Nutzerverhalten ist der Hauptauslöser für die Verbreitung von Datendiebstahl-Schadsoftware. Die am 17. Juni 2026 veröffentlichte Studie zeigt, dass ein erheblicher Teil der Sicherheitsvorfälle darauf zurückzuführen ist, dass Anwender Dateien in bestimmten Systemverzeichnissen ausführen – meist beim Versuch, inoffizielle Software oder Modifikationen zu installieren.

Die wachsende Gefahr durch Infostealer zeigt, wie verwundbar unsere digitalen Zugänge geworden sind. In diesem kostenlosen Ratgeber erfahren Sie, wie Sie Ihre Passwörter künftig sicher und verschlüsselt auf dem eigenen Rechner verwalten, statt sie riskant im Browser zu speichern. Kostenlosen Guide zur sicheren Passwort-Verwaltung anfordern

Hauptinfektionswege im Fokus

Die Kaspersky-Studie „Digital Footprint Intelligence" wertete fünf Millionen Log-Dateien aus dem Darknet aus, die im Laufe des Jahres 2025 gesammelt wurden. Das Ergebnis: 35 Prozent aller Infostealer-Infektionen begannen mit der Ausführung von Dateien in temporären Ordnern. Weitere 32 Prozent der Fälle betrafen Prozess-Injektionen im .NET-Framework-Verzeichnis.

Laut Sergey Shcherbel von Kaspersky stiegen die Infostealer-Infektionen 2025 im Vergleich zum Vorjahr um 59 Prozent. Die Forschung identifiziert mehrere risikoreiche Verhaltensweisen, die diese Angriffe begünstigen: das Herunterladen von Software aus inoffiziellen Quellen, die Nutzung illegaler Aktivierungstools und die Installation von Spiel-Modifikationen. In einigen Fällen deaktivierten Nutzer sogar ihre Antivirensoftware, um diese Installationen abzuschließen – und öffneten damit der Malware Tür und Tor.

Zu den prominentesten Schadenssoftware-Familien zählen Lumma, Vidar, Stealc und RisePro. Diese Programme tarnen sich häufig als legitime Installationsprogramme oder Aktivierungstools. Eine besondere Warnung sprach Kaspersky zudem für bösartige Software aus, die über Anime-Wallpaper im Steam Workshop verbreitet wurde.

Datenlecks in gigantischem Ausmaß

Die Folgen dieser Infektionen werden durch massive Datenexpositionen immer sichtbarer. Am 12. Juni 2026 entdeckten Forscher von Cybernews eine öffentlich zugängliche Elasticsearch-Datenbank mit 24 Milliarden gestohlenen Datensätzen – insgesamt 8,3 Terabyte an Daten. Der Bestand enthielt Benutzernamen, E-Mail-Adressen, Klartext-Passwörter und Login-URLs.

Die Untersuchung der Datenquelle ergab, dass sie aus 36 verschiedenen Kanälen stammt, darunter Telegram-Hacking-Gruppen und direkt von Infostealern wie RedLine gesammelte Logs. Der Server wurde inzwischen offline genommen, doch die Exposition stellt ein erhebliches Risiko für Credential-Stuffing-Angriffe dar.

In einem weiteren Vorfall am 15. Juni 2026 fügte der Benachrichtigungsdienst „Have I Been Pwned" 124 Millionen Passwörter und 56,3 Millionen E-Mail-Adressen zu seiner Datenbank hinzu. Diese Datensätze stammen ausschließlich aus Infostealer-Logs von infizierten Windows-Geräten – nicht aus traditionellen Unternehmensdatenlecks.

Angesichts von Milliarden gestohlener Datensätze und Passwörter ist ein effektiver Virenschutz für Windows-Nutzer heute unverzichtbar. Sichern Sie Ihren PC jetzt mit dem Gratis-Ratgeber der Experten gegen Viren, Spionage-Software und Hacker-Angriffe ab. Gratis Anti-Virus-Paket für Ihren PC-Schutz herunterladen

Immer raffiniertere Verteilungsmethoden

Cyberkriminelle setzen zunehmend ausgefeilte Methoden ein, um Infostealer auf Zielsysteme zu bringen. Am 17. Juni 2026 berichteten Sicherheitsforscher von einem Supply-Chain-Angriff mit 141 kompromittierten npm-Paketen der Marke Mastra. Ein als „ehindero" identifizierter Angreifer hatte offenbar eine Abhängigkeit injiziert, die nach der Installation einen plattformübergreifenden Infostealer herunterlud. Die Malware zielte auf 166 verschiedene Kryptowährungs-Wallet-Erweiterungen, Browserverläufe und Systemdaten ab.

Eine weitere Kampagne namens ClickFix, die seit April 2026 beobachtet wird, nutzt eine technique namens EtherHiding. Dabei werden kompromittierte WordPress-Seiten verwendet, um gefälschte CAPTCHA-Overlays anzuzeigen. Wenn Nutzer die aufgeforderten Tastenkombinationen ausführen, führen sie unwissentlich Befehle aus, die GULoader in den Systemspeicher laden. Dieser Loader dient dann als Einfallstor für verschiedene Infostealer und Remote-Access-Trojaner.

Forscher von Fortra berichteten am 16. Juni 2026 zudem über den Phantom Stealer, ein Malware-as-a-Service-Angebot. Dieser dateilose Schädling, der auf Finanzinstitute und hochwertige Organisationen abzielt, operiert vollständig im RAM des Systems, um der Erkennung zu entgehen. Frühere Versionen dieser Kampagne zwischen Ende 2025 und Anfang 2026 konzentrierten sich auf europäische Unternehmen der Logistik- und Fertigungsbranche.

de | wissenschaft | 69567013 |