Flashpoint hat nach eigenen Angaben mehr als 30 eigenständige Infostealer-Varianten identifiziert. Wie viele einzelne Familien tatsächlich im Umlauf sind, lasse sich kaum belastbar beziffern, weil sich der Untergrundmarkt nahezu täglich verändere: Neue Stealer tauchen auf, bestehende Varianten werden abgespalten, andere werden durch Strafverfolgungsmaßnahmen abgeschaltet oder zumindest gestört.
Vertrieben werden die Schadprogramme in der Untergrundszene häufig als Malware-as-a-Service. Laut Flashpoint sind sie teils schon für 60 US-Dollar pro Monat zu mieten. Zu den 2025 erfolgreichsten Familien zählten demnach in dieser Reihenfolge Lumma, Acreed, Rhadamanthys, Vidar und StealC. Wie schnell sich die Lage verschiebt, zeigt laut dem Bericht der Blick auf die ersten beiden Monate 2026: Vidar stieg von Platz vier zur dominierenden Familie auf und war für mehr als 73 Prozent aller infizierten Hosts und Geräte verantwortlich. Lumma, 2025 noch auf Rang eins, kam in diesem Zeitraum nur noch auf 1,1 Prozent.
Um einen Infostealer einzusetzen, müssen Angreifer zunächst ein Zielsystem infizieren. Als besonders naheliegend beschreibt der Bericht klassische Social-Engineering-Angriffe auf Nutzer von Desktop- oder Laptop-Systemen. Ist ein Gerät in einem angegriffenen Netzwerk kompromittiert, können die dort gefundenen Geheimnisse laut Flashpoint häufig den Zugang zu weiteren Bereichen derselben Umgebung eröffnen.
Welche Daten ein Stealer genau sammelt, hängt von der jeweiligen Variante ab. Im Kern zielen diese Programme laut Flashpoint vor allem auf verwertbare Zugangsdaten: Passwörter für Websites, Unternehmenszugänge für VPN, RDP, VNC und Webmail, Anmeldedaten für SaaS-Dienste und Cloud-Plattformen, E-Mail-Konten, Passwortspeicher von Passwortmanagern sowie Autofill-Daten, die auch persönliche Informationen wie Namen, Telefonnummern und E-Mail-Adressen enthalten können.
Hinzu kommen Browser-Cookies, aktive Sitzungstoken und Sitzungsartefakte aus Cloud- und SaaS-Umgebungen. Die Schadprogramme durchsuchen dem Bericht zufolge außerdem Browserdaten wie installierte Erweiterungen und User-Agents. Auch Informationen zu Kryptowallets, etwa Seed-Phrasen und private Schlüssel aus dem Browser oder aus Desktop-Anwendungen, sowie auffindbare Kreditkartendaten gehören zum typischen Beuteschema.
Neben Identitätsdaten sammeln Infostealer auch Systemmetadaten, darunter Betriebssystemversion, Hardware-Informationen und IP-Adresse. Gerade die Kombination aus Daten und Metadaten macht die Beute aus Sicht der Täter besonders wertvoll, weil damit nicht nur Identität, sondern auch Kontext erfasst wird.
Vor dem Abfluss können Stealer laut Flashpoint prüfen, ob sie in einer Sandbox laufen. Erkennen sie eine solche Analyseumgebung, stellen sie ihre Aktivität unter Umständen sofort ein, um nicht von Schutzsystemen markiert zu werden. Zudem setzen sie teils auf Zeichenkettenverschlüsselung und Verschleierung, um eine Erkennung durch statische Analysewerkzeuge zu erschweren. Entschlüsselt werde der Code nur im Speicher und damit nur kurzzeitig sichtbar, was signaturbasierte Erkennung zusätzlich erschwere.
Die gesammelten Daten werden anschließend in sogenannten Stealer-Logs gebündelt. Diese Dateien können komprimiert und verschlüsselt werden, um ihren Inhalt vor Data-Loss-Prevention-Systemen in Unternehmen zu verbergen, und dann an einen vom Angreifer kontrollierten Webserver übertragen werden.
Monetarisiert werden diese Protokolle laut Flashpoint entweder direkt durch die Täter selbst oder durch den Verkauf an kriminelle Gruppen. Ein verbreitetes Einsatzmuster bestehe darin, die gestohlenen Identitäten für einen unbemerkten Zugang zu nutzen, um anschließend Ransomware einzuschleusen und zu aktivieren. Zwischen einer Infektion mit einem Infostealer und einer Lösegeldforderung liege oft nur ein direkter und vergleichsweise kurzer Weg.