Laut der von Lunar in Auftrag gegebenen Untersuchung setzen nur 32 Prozent der befragten Unternehmen dedizierte Lösungen zur Überwachung von Zugangsdaten ein, während 17 Prozent über gar kein Werkzeug verfügen. Mehr als 60 Prozent prüfen auf offengelegte Zugangsdaten nur monatlich, selten oder nie. Geva beschreibt, dass viele Organisationen vor dem Wechsel zu Lunar auf Lösungen vertrauten, die sich auf Datenlecks statt auf Infostealer konzentrierten, mit nicht-forensischen Daten und sogenannten ULPs arbeiteten, auf veraltete Quellen mit hoher Latenz zurückgriffen und weder Automatisierung noch Integrationen oder Ermittlungsfunktionen boten.
Das zentrale Problem: Bisherige Werkzeuge meldeten zwar, dass ein Vorfall stattgefunden hatte, lieferten aber keine forensischen Details – etwa welche Konten kompromittiert, welche Geräte infiziert und welche SaaS-Anwendungen betroffen waren, und vor allem, welche Session-Cookies entwendet wurden.
Aus den 4,17 Milliarden 2025 gesammelten Datensätzen analysierte Lunar Infostealer-Logs, aus Stealern abgeleitete Combolists, Marktplätze und Telegram-Kanäle. Infostealer wie LummaC2, Rhadamanthys, Vidar und Acreed rutschten dabei regelmäßig durch die Überwachung von Unternehmen, die sich selbst für ausgereift hielten. Auch macOS ist betroffen: Geva nennt Familien wie Atomic macOS Stealer (AMOS), Odyssey, MacSync, MioLab und Atlas.
Moderne Infostealer werden laut Geva als vollwertige Produkte mit Abo-Stufen, Dashboards und Dokumentation verkauft, ausgelegt auf das massenhafte Abgreifen von Cookies, Session-Tokens und SaaS-Zugängen. Session-Cookies verschaffen Angreifern dabei mehr als nur Zugang: Sie öffnen die Vordertür und erlauben es, Anmeldeseiten vollständig zu überspringen – ohne Passwortabfrage, ohne MFA-Prüfung und oft ohne sichtbare Spur in den üblichen Authentifizierungsprotokollen.
Den Ablauf eines Infostealer-Angriffs gliedert Geva in vier Schritte: Zunächst wird das Gerät des Opfers infiziert – etwa über Zero-Day-Exploits, ClickFix-Kampagnen, bösartige Browser-Erweiterungen, raubkopierte Software, Spiel-Mods oder manipulierte Open-Source-Projekte. Anschließend extrahiert der Infostealer Logins und Cookies aus dem Browser und sendet sie an den Betreiber. Die Daten werden zu Logs gebündelt und auf Untergrundmärkten und in privaten Kanälen verkauft. Schließlich nutzt der Käufer ein gültiges Session-Token, um in das Zielnetzwerk einschließlich angebundener Drittportale einzudringen. Diese Kette kann sich innerhalb von Stunden vollziehen – während viele Organisationen ihre Prüfungen nur monatlich durchführen.
Als Gegenmaßnahmen nennt Geva drei praktische Fähigkeiten: kontinuierliche Überwachung und Normalisierung der wichtigsten Quellen für eine bereinigte, dublettenfreie Sicht; gezielte Automatisierung, die Fehlalarme reduziert; sowie Integrationen in bestehende Sicherheits- und Identitätssysteme wie SIEM, SOAR und IDP, die Playbooks vollständig ausführen – etwa Zugangsdaten zurücksetzen, Sitzungen ungültig machen und Konten sperren, sobald eine Offenlegung bestätigt ist.
