Infostealer 2026: Wie Angreifer dein 2FA per Browser-Session aushebeln

Von /

Du loggst dich morgens in dein E-Mail-Postfach ein, bestätigst den 2FA-Code, gehst Kaffee holen. Zwei Stunden später ist der Account gekapert. Kein Phishing, kein geleaktes Passwort, kein neuer Login von einem fremden Gerät – nichts, was eine herkömmliche Schutzmaßnahme triggert. Willkommen in der Welt der Infostealer 2026: Malware, die Browser-Sessions stiehlt, statt Passwörter. Und damit das wichtigste Sicherheitsfundament der letzten zehn Jahre – die Zwei-Faktor-Authentifizierung – elegant umgeht.

Laut Verizon Data Breach Investigation Report 2025 sind Infostealer-basierte Credential-Theft-Angriffe zur häufigsten Einfallsroute in Unternehmen geworden – noch vor klassischem Phishing. Die bekanntesten Familien 2026 heißen Lumma, RedLine, StealC, Vidar und RisePro. Trotz der Strafverfolgungs-Erfolge gegen Lumma im Sommer 2025 sind die Nachfolger längst da.

Wie der Angriff funktioniert

Code im Editor – Symbolbild für Infostealer-Operationen
Infostealer brauchen 2026 keine Zero-Days mehr – ausführen reicht.

Die Angriffskette ist trivial, aber wirkungsvoll:

  • Ausliefern: Über gecrackte Software-Downloads, infizierte YouTube-Beschreibungen, gefälschte Browser-Updates oder Phishing-Anhänge gelangt die Malware auf den Rechner. Kein Exploit, kein Zero-Day – einfacher User-Doppelklick.
  • Browser scrapen: Der Stealer kopiert alles, was in Chrome, Edge, Firefox oder Brave gespeichert ist: gespeicherte Passwörter, Cookies, Autofill-Daten, Crypto-Wallet-Extensions, und entscheidend: die Session-Tokens.
  • Exfiltrieren: Innerhalb von Sekunden gehen die Daten an einen Command-and-Control-Server. Der ganze Vorgang dauert weniger als eine Minute. Die Malware löscht sich danach oft selbst, um Spuren zu verwischen.
  • Sessions nutzen: Der Angreifer importiert deine Cookies in seinen Browser und ist als du eingeloggt – ohne Passwort, ohne 2FA-Prompt. Aus Sicht des Servers ist die Session schon authentifiziert.

Warum 2FA hier nicht hilft

Zwei-Faktor-Authentifizierung schützt den Login, nicht die Session danach. Wenn du dich einmal pro Woche einloggst und der Cookie sieben Tage gültig ist, hat der Angreifer sieben Tage Zugriff, ohne dass je ein 2FA-Code abgefragt wird. Bei Google-Workspace, Microsoft 365, GitHub und den meisten SaaS-Diensten sind Session-Lifetimes von 14–30 Tagen Standard. Manche Anbieter (Slack, Discord) verlängern die Session sogar automatisch bei Aktivität – der Cookie wird de facto nie ungültig.

Konkret betroffen sind 2026:

  • Web-Logins: Mail-Provider, Cloud-Speicher, Banking-Portale, Crypto-Exchanges, Social Media.
  • Entwickler-Accounts: GitHub-, GitLab-, npm-, PyPI- und Docker-Hub-Tokens werden gerne mitgenommen – Lieferketten-Angriffe via gestohlener Maintainer-Sessions sind das neue Eldorado.
  • Crypto-Wallet-Extensions: MetaMask, Phantom & Co. werden gezielt durchsucht; Seedphrases landen direkt im Klartext beim Angreifer.
  • Enterprise-SSO: Ein gestohlenes Okta- oder Azure-AD-Cookie eines einzelnen Mitarbeiters öffnet das Netzwerk.

Reale Fälle 2024–2026

  • Snowflake-Welle 2024: Über 165 Kundenkonten kompromittiert – die Initial-Vektoren waren in vielen Fällen Infostealer-Logs alter Mitarbeiter-Maschinen, die noch gültige Tokens enthielten.
  • Cisco-Talos-Report 2025: 35 % aller analysierten Initial-Access-Broker-Posts im Untergrund stammten aus Infostealer-Logs, nicht aus Brute-Force oder Phishing.
  • YouTube-Creator-Wave 2025: Mehrere große Channels wurden gekapert, nachdem Mitarbeiter ein vermeintliches Sponsoring-PDF öffneten – darin: ein RedLine-Loader, der die Google-Cookies abgriff.

So schützt du dich konkret

Hände am Keyboard – Sinnbild für Browser-Hygiene gegen Infostealer
Die wirksamen Gegenmaßnahmen liegen im Browser-Setup, nicht im Antivirus.
  • Keine Passwörter im Browser speichern. Nutze einen separaten Passwortmanager wie Vaultwarden/Bitwarden oder KeePassXC – mit Master-Passwort, das nicht im Browser liegt. Die in Chrome/Firefox gespeicherten Passwörter sind das erste Ziel.
  • Passkeys statt Passwort + 2FA. Passkeys sind hardwaregebunden – ein gestohlener Cookie hilft dem Angreifer nichts, weil ein neuer Auth-Vorgang auf das Gerät zurückfällt. Siehe Passkeys 2026.
  • Hardware-Keys für kritische Konten. YubiKey oder Nitrokey machen Session-Stehlen wertlos, weil bei sensiblen Aktionen erneut der Key abgefragt wird (Step-Up-Auth).
  • Token-Binding aktivieren, wo verfügbar. Microsoft Entra, Google Workspace und einige andere Anbieter bieten Continuous Access Evaluation bzw. Token Protection an, was Cookies an den Gerätekontext bindet. Aktivieren, sobald angeboten.
  • Linux statt Windows für sicherheitskritische Sessions. 95 % aller Infostealer zielen primär auf Windows. Eine Linux-Workstation (z. B. CachyOS) schließt den Großteil aus, einfach weil keine kompatiblen Stealer existieren.
  • Software nur aus offiziellen Quellen. Keine Crack-Sites, keine „free download“-Portale, keine YouTube-Beschreibungs-Links zu Tools. Das ist 2026 das wichtigste Browser-Hygiene-Prinzip.

Fazit

Die unangenehme Wahrheit: 2FA ist 2026 kein vollständiger Schutz mehr, sondern eine Schicht von vielen. Wer noch immer denkt „mit 2FA bin ich sicher“, arbeitet mit einem Sicherheitsmodell aus 2018. Die Verteidigung gegen Infostealer ist eine Kombination aus Passkeys / Hardware-Keys, Browser-Hygiene und der Erkenntnis, dass Sessions mindestens so kritisch sind wie Logins. Wer die drei Hebel zieht, bleibt 2026 verschont – die anderen werden zur statistischen Mehrheit.

Bildquelle: lizenzfreie Stock-Frames.

Ähnliche Beiträge

Schreibe einen Kommentar

Nach oben scrollen