Infostealer malware in opmars: zo herken en voorkom je digitale dataroof

Infostealer malware is een toenemende dreiging binnen onderwijs en onderzoek. SURFsoc signaleert geregeld incidenten waarbij gevoelige data via deze vorm van malware wordt buitgemaakt. De urgentie werd opnieuw onderstreept: op 23 mei 2025 rolden internationale politiediensten een grootschalig botnet op, dat onder andere infostealer malware inzette voor criminele activiteiten. Vooral varianten als LummaStealer, RedLine en Gremlin Stealer zijn actief in omloop. In dit bericht leggen we uit wat infostealer malware is, hoe het werkt en wat je kunt doen om schade te voorkomen of te beperken.

Wat is infostealer malware?

Een infostealer is een type malware dat gevoelige informatie van een besmet systeem verzamelt en doorstuurt naar cybercriminelen. Denk aan:

• Inloggegevens uit browsers
• Cookies en sessietokens (voor het omzeilen van MFA)
• Autofill-data
• Gegevens uit authenticator-plugins
  

Deze informatie wordt vaak verhandeld op cybercrimeplatforms, waarna aanvallers deze gebruiken voor spionage, ransomware-aanvallen of identiteitsfraude.

Hoe raken systemen besmet met infostealer malware?

Infostealer malware verspreidt zich vooral via:

• Phishingmails
• Gemanipuleerde softwaredownloads (cracked software, keygens)
  Malafide websites met fake CAPTCHA’s die een kwaadaardig script op je klembord plaatsen
  

Een voorbeeld hiervan is LummaStealer, ook wel bekend als LummaC2, die wordt aangeboden als Malware-as-a-Service (MaaS). Hierdoor kunnen zelfs minder technische aanvallers deze software eenvoudig inzetten.

Waarom is dit urgent?

SURFcert ziet veel meldingen van infostealer-activiteiten. De impact is groot: een enkele besmetting kan leiden tot grootschalige accountinbreuk, zelfs bij accounts die zijn beveiligd met MFA. Infostealer malware buit vaak veel meer uit dan slechts één set inloggegevens.

Voorbeeld:
Een gestolen sessietoken kan gebruikt worden voor “session hijacking”. Hierdoor kan een aanvaller toegang krijgen tot een account zonder inloggegevens of MFA-code te kennen.

Wat kun je doen tegen infostealer malware?

1. Voorkomen

• Wees terughoudend met het downloaden van software buiten officiële bronnen.
• Controleer goed op fake CAPTCHA’s en andere verdachte web-elementen.
• Gebruik een wachtwoordmanager  in plaats van browseropslag.
• Maak gebruik van endpoint-beveiliging en DNS-filtering.
• Maak gebruik van de awarenessmaterialen over infostealers in de CSY-toolkit waarmee je studenten, docenten, onderzoekers en andere medewerkers bewustzijn creëert over deze malware
  

2. Detecteren

• Zorg voor actieve monitoring op infostealer-gedrag. SURFsoc monitort verdachte patronen continu.
• Let op plotselinge datatransfers of onbekende processen op werkplekken.
  

3. Reageren

Is er sprake van besmetting? Onderneem dan snel de volgende acties:

• Reinig het systeem volledig. In veel gevallen is een herinstallatie nodig.
• Wijzig alle wachtwoorden die op het systeem zijn gebruikt.
• Beëindig actieve sessies in alle gebruikte diensten – alleen een password reset is niet voldoende.
  Voer een impactanalyse uit: is er sprake van een datalek? Informeer je FG.
• Ga na hoe het systeem besmet is geraakt en waarschuw de gebruiker om herhaling te voorkomen.

Meer weten?

Bekijk de volgende bronnen voor verdieping:

• Lumma Stealer: coming and going (Sophos)
• Gremlin Stealer for sale on Telegram (Palo Alto)
• Fake CAPTCHA Runs Malware (YouTube)
• TrendMicro over GitHub-delivery van Lumma
  

Blijf alert – en deel deze informatie

Heb je signalen van infostealer-activiteit binnen jouw instelling? Neem contact op met SURFcert of je eigen CISO-team. Deel dit bericht met collega’s in beheer, security of support.