Info stealer

Een info stealer, ook wel infostealer genoemd, is een type malware dat specifiek is ontworpen om gevoelige gegevens van geinfecteerde apparaten te stelen. Het gaat dan om inloggegevens, browsercookies, opgeslagen wachtwoorden, creditcardgegevens, cryptocurrency wallets en sessietokens. Info stealers werken stilletjes op de achtergrond en exfiltreren gegevens in bulk zonder dat je het merkt. In 2025 infecteerden infostealers 11,1 miljoen apparaten wereldwijd en werden 3,9 miljard credentials gecompromitteerd, waarmee infostealers tot de meest impactvolle malwarecategorieen van dit moment behoren.

De impact van info stealers reikt veel verder dan individuele gebruikers. Onderzoek toont aan dat 1 op de 5 infostealer-infecties inmiddels enterprise credentials oplevert, waaronder Single Sign-On (SSO) en Identity Provider (IdP) credentials die toegang geven tot complete bedrijfsnetwerken. Gestolen credentials zijn inmiddels de belangrijkste methode waarmee aanvallers toegang krijgen tot organisaties, effectiever dan technische exploitatie van kwetsbaarheden. In plaats van in te breken via een exploit, loggen aanvallers simpelweg in met gestolen wachtwoorden. Infostealers voeden een schaduweconomie van access brokers, ransomware-kartels en BEC-fraude die samen verantwoordelijk zijn voor miljarden euro's schade per jaar aan organisaties wereldwijd.

Hoe werkt een info stealer?

Info stealers verspreiden zich via meerdere aanvalsvectoren. De meest voorkomende zijn phishingmails met kwaadaardige bijlagen, geinfecteerde software-downloads van onbetrouwbare bronnen, malvertising via online advertentienetwerken en gecompromitteerde websites die drive-by downloads uitvoeren. Ook gekraakte software en game cheats zijn veelgebruikte distributiekanalen, waardoor zowel particulieren als medewerkers die ongeautoriseerde software installeren op werkstations risico lopen op infectie. Zodra de malware op een systeem actief is, begint het geautomatiseerd gegevens te verzamelen uit vooraf gedefinieerde bronnen op het apparaat.

De malware doorzoekt systematisch alle geinstalleerde browsers op opgeslagen wachtwoorden, autofill-gegevens en sessiecookies. Het extraheert gegevens uit wachtwoordmanagers, e-mailclients, FTP-programma's en VPN-configuraties. Geavanceerde varianten zoals RedLine, Raccoon en Vidar maken screenshots van het bureaublad, loggen toetsaanslagen en stelen MFA-tokens en sessiecookies waarmee aanvallers actieve sessies kunnen overnemen zonder het wachtwoord te kennen. De gestolen gegevens worden verpakt in een zogenaamde stealer log en via versleutelde kanalen verstuurd naar command-and-control servers van de aanvaller om detectie door netwerkmonitoring te ontwijken.

Na de diefstal worden de gegevens verhandeld op darkweb-marktplaatsen en Telegram-kanalen. Elke log bevat alle gegevens van een geinfecteerd apparaat en wordt verkocht voor prijzen varieerend van enkele euro's tot honderden euro's, afhankelijk van de waarde van de credentials en het type organisatie dat is getroffen. Ransomware-groepen, business email compromise (BEC) criminelen en initial access brokers zijn de primaire afnemers van deze logs. De groeiende inzet van AI-chatbots en AI-agents in bedrijfsprocessen creert een nieuw aanvalsoppervlak: gecompromitteerde systemen met opgeslagen chatbot-credentials en API-sleutels vormen een opkomend risico dat in 2026 naar verwachting sterk zal toenemen naarmate meer organisaties AI-tools integreren in hun dagelijkse werkprocessen.

Hoe herken je een info stealer?

Info stealers zijn ontworpen om onopgemerkt te blijven, maar er zijn signalen die wijzen op een infectie. Onverwachte inlogpogingen op je accounts vanuit onbekende locaties zijn een sterk signaal dat credentials zijn gestolen. Meldingen van wachtwoordwijzigingen die je niet hebt aangevraagd, onbekende sessies in je e-mail of cloudaccounts en onverklaarbare transacties op financiele rekeningen zijn allemaal indicatoren van mogelijke credential-diefstal door een infostealer.

Op technisch niveau kun je info stealers detecteren door te letten op ongebruikelijk uitgaand netwerkverkeer, vooral naar onbekende domeinen of IP-adressen. EDR-oplossingen kunnen verdachte processen identificeren die proberen browserdata te lezen, credential stores te benaderen of grote hoeveelheden bestanden te lezen in korte tijd. Monitoring van authenticatielogs op onmogelijke reizen, zoals logins vanuit twee landen binnen enkele minuten, wijst op het gebruik van gestolen sessietokens. Regelmatige controle via darkweb-monitoring services helpt bij het vroegtijdig detecteren of credentials van je organisatie op marktplaatsen verschijnen voordat aanvallers ze gebruiken voor verdere aanvallen op je systemen.

Hoe bescherm je je tegen info stealers?

Bescherming tegen info stealers vereist een combinatie van technische en organisatorische maatregelen op meerdere lagen. Implementeer endpoint protection met gedragsanalyse die verdachte processen herkent op basis van hun gedrag, niet alleen op bekende signatures. Dwing multifactor authenticatie af op alle bedrijfskritieke systemen, bij voorkeur met hardware tokens of FIDO2-sleutels in plaats van SMS-codes die ook gestolen kunnen worden via SIM swapping of interceptie door de malware zelf.

Beperk het opslaan van wachtwoorden in browsers en gebruik in plaats daarvan een enterprise wachtwoordmanager met versleutelde opslag en centrale beheersmogelijkheden. Train medewerkers in het herkennen van phishing en het vermijden van onbetrouwbare software-downloads, inclusief de risico's van gekraakte software en onofficiiele bronnen. Implementeer applicatie-whitelisting om ongeautoriseerde software te blokkeren en zorg voor een duidelijk beleid over het installeren van software op werkstations. Monitor actief op compromised credentials via threat intelligence feeds en darkweb-monitoring diensten. Bij detectie van gestolen credentials forceer je direct een wachtwoordreset en revoceer je alle actieve sessietokens voor de getroffen accounts. Netwerksegmentatie beperkt de schade als een werkstation gecompromitteerd raakt doordat de aanvaller niet lateraal kan bewegen naar kritieke systemen met de gestolen credentials.

Bekende info stealer families

De meest actieve infostealer-families in 2025 en 2026 zijn RedLine Stealer, Raccoon Stealer, Vidar en Lumma. RedLine is een van de populairste stealers vanwege de lage instapkosten en brede functionaliteit waarmee het wachtwoorden, cookies en cryptocurrency wallets steelt van geinfecteerde systemen. Raccoon Stealer wordt aangeboden als malware-as-a-service waarmee ook technisch minder vaardige criminelen infostealers kunnen inzetten tegen betaling van een maandelijks abonnement. Vidar richt zich specifiek op cryptocurrency wallets en tweefactor-authenticatie apps. Lumma Stealer onderscheidt zich door geavanceerde anti-detectie technieken die het moeilijker maken voor EDR-oplossingen om de malware te identificeren en te blokkeren. Deze families worden continu doorontwikkeld en nieuwe varianten verschijnen regelmatig op darkweb-forums.

Veelgestelde vragen over info stealers

Wat is het verschil tussen een info stealer en een keylogger?

Een keylogger registreert alleen toetsaanslagen. Een info stealer is breder en steelt ook opgeslagen wachtwoorden, browsercookies, sessietokens, autofill-gegevens en bestanden. Moderne info stealers bevatten vaak een keylogger-component als onderdeel van hun bredere functionaliteit voor het verzamelen van gegevens van een geinfecteerd systeem.

Kan MFA beschermen tegen info stealers?

Gedeeltelijk. MFA beschermt tegen het direct gebruiken van gestolen wachtwoorden. Geavanceerde info stealers stelen echter ook sessiecookies en MFA-tokens waarmee aanvallers MFA kunnen omzeilen zonder de tweede factor te hoeven invoeren. Hardware-based MFA zoals FIDO2-sleutels biedt de sterkste bescherming tegen deze geavanceerde aanvallen.

Hoe komen info stealers op mijn systeem?

De meest voorkomende infectievectoren zijn phishingmails met kwaadaardige bijlagen, illegale of gekraakte software-downloads, malvertising via online advertentienetwerken en drive-by downloads via gecompromitteerde websites. Een enkele klik op een kwaadaardige link of bijlage kan voldoende zijn om je systeem volledig te infecteren.

Wat moet ik doen als credentials van mijn organisatie zijn gestolen?

Wijzig direct alle gecompromitteerde wachtwoorden, begin met de meest kritieke accounts zoals e-mail, VPN en cloudservices. Activeer of vernieuw MFA op alle accounts. Revoceer alle actieve sessies. Scan getroffen apparaten met actuele antimalware en controleer accounts op ongeautoriseerde wijzigingen of verdachte activiteiten die wijzen op misbruik.

Hoeveel kost het als een info stealer je organisatie raakt?

De kosten varieren van duizenden tot miljoenen euro's afhankelijk van welke credentials zijn gestolen en hoe ze worden misbruikt. Gestolen enterprise SSO-credentials kunnen leiden tot volledige netwerkcompromittering en ransomware. De gemiddelde kosten van een datalek lagen in 2025 boven de 4,5 miljoen dollar volgens IBM-onderzoek naar meer dan 600 incidenten.

Bescherm je organisatie tegen info stealers. Vind de juiste aanbieder via Endpoint Detection & Response (EDR) aanbieders op IBgidsNL.