Malware die ongemerkt bankgegevens, wachtwoorden en andere gegevens verzamelen zijn een steeds vaker een plaag voor consumenten en bedrijven in Nederland. In 2024 onderschepten de systemen van ESET alleen al in Nederland meer dan 33.000 van dit soort infostealers. Een stijging van meer dan 17 procent ten opzichte van een jaar eerder. De stijging is alarmerend, omdat infostealers vaak onopgemerkt blijven en daarmee consumenten en bedrijven in gevaar brengen.
Als een computer of telefoon eenmaal besmet is met zo’n virus, verzamelt het in het geheim allerlei gegevens op het systeem van het slachtoffer, zoals inloggegevens voor websites en apps, cookies, bank en creditcard-gegevens en bijvoorbeeld je cryptowallet-informatie. En de software stuurt die gegevens naar de aanvaller.
De gestolen gegevens worden uiteindelijk misbruikt door de aanvaller. Onder meer om financiële fraude te plegen. De aanvaller kan er ook voor kiezen om de gestolen gegevens op de zwarte markt te verkopen. Dat gebeurt bijvoorbeeld in Telegram-kanalen, op fora of op het darkweb, waar dit soort lucratieve gegevens in pakketten worden verhandeld.
‘Impact op slachtoffers kan gigantisch zijn’
De impact voor slachtoffers kan heel groot zijn. “Met deze gegevens kunnen cybercriminelen je leven ontwrichten. Ze kunnen je digitale identiteit overnemen, je spaargeld stelen en je bestaan online wissen. Ook worden ze gebruikt als startpunt voor ransomware-aanvallen”, zegt Harm Teunis van ESET Nederland.
Software van ESET voorkomt dat deze infostealers zich nestelen op systemen. Hoeveel onbeschermde systemen in Nederland daadwerkelijk besmet zijn met infostealers, is moeilijk in te schatten, zegt Teunis.
“Het is als het onderscheppen van drugs in de haven. De douane weet alleen wat er onderschept wordt, niet wat er daadwerkelijk het land in komt. Een voorzichtige schatting is dat het aantal infostealerbesmettingen alleen in Nederland al in de vele duizenden loopt.”
De meest gedetecteerde infostealer in Nederland is JS/Spy.Banker, ook bekend als Magecart. Het is een digitale skimmer; software die de betaal- en transactiegegevens van een klant tijdens het afrekenen in webwinkels onderschept. Dat gebeurt meestal bij webwinkels die hun systemen niet hebben geüpdatet, waardoor cybercriminelen misbruik maken van kwetsbaarheden.
Formbook staat op de derde plek. Dat is een oude bekende die onder meer verspreid wordt via phishingmails. Formbook is ontworpen om een breed scala aan gevoelige gegevens te verzamelen bij slachtoffers. De kwaadaardige software verzamelt onder meer gegevens van het klembord, toetsaanslagen, schermafbeeldingen en opgeslagen browsergegevens.
Ondanks dat Formbook al relatief oud is – Formbook werd voor het eerst ontdekt in 2016 - is het een veel gebruikt stuk gereedschap van cybercriminelen. Dat komt doordat het als malware-as-a-service voortdurend wordt doorontwikkeld. Hij staat bovendien al een aantal jaar in de top-5 van de door ESET gedetecteerde infostealers.
De beruchte infostealer Agent Tesla staat op de vierde plek, terwijl dit lange tijd de wereldwijd de dominante infostealer was. Agent Tesla wordt sinds 2014 gebruikt. Net als Formbook wordt AgentTesla gebruikt om in het geniep informatie te stelen van geïnfecteerde computers.
Agent Tesla wordt doorgaans verspreid via phishingmails waarin een kwaadaardige bijlage zit. De ontvanger wordt verleid om die bijlage te downloaden en openen, bijvoorbeeld in mails waarin de afzender zich voordoet als een bekend logistiek bedrijf. Er zit dan een bijlage bij die dan te maken lijkt te hebben met de verzending van een pakketje. Maar in werkelijkheid is dat dus een kwaadaardige bijlage, met daarin de infostealer.
Malware-as-a-service: verdienmodel voor criminelen
Infostealers zoals Formbook en Agent Tesla worden door cybercriminelen op hackforums en op Telegram verkocht als malware-as-a-service. De schadelijke software heeft een vergelijkbaar verdienmodel als veel legitieme software vandaag de dag.
Om het te gebruiken heb je weinig technische kennis nodig, waardoor het met name voor beginnende criminelen een interessante manier is om laagdrempelig om hun slag te slaan. Ze kunnen de malware kopen of leasen van de ontwikkelaar, variërend van een paar
Naast deze top-10 infostealers die hierboven genoemd werd, zijn er talloze andere varianten. Soms verstopt in phishingberichten, soms verstopt in software die er legitiem uitziet maar op niet-officiële website wordt aangeboden, maar ook vaak in illegale software. Lumma Stealer bijvoorbeeld wordt ook verspreid via frauduleuze captcha’s: de tests en puzzels die je vaak moet oplossen op websites om te bewijzen dat je geen robot bent.
Het aantal detecties van Lummastealer groeit met name buiten Nederland heel hard, maar is ook hier al meer dan 300 keer gedetecteerd door ESET.
Politie grijpt in: ruimte voor andere infostealers
In oktober van het afgelopen jaar wist de Nederlandse politie samen met internationale politiediensten de beruchte infostealers Redline en Meta te ontmantelen. ESET was betrokken bij het onderzoek in aanloop naar de inval door de politie, waarbij uiteindelijk drie servers in Nederland offline zijn gehaald. Die infostealers zouden miljoenen slachtoffers hebben gemaakt.
ESET verwacht dat makers van andere infostealers zullen proberen te profiteren van het gat dat is ontstaan door het verdwijnen van Redline. Ook wordt verwacht dat het gebruik van infostealers door cybercriminelen dit jaar verder toeneemt.
Zo bescherm je jezelf
Wil je weten of je computer besmet is door Redline of Meta? Via deze link kun je een gratis scan uitvoeren. Mocht je systeem besmet zijn, dan kun je de malware direct verwijderen. Je vindt er ook een stappenplan over hoe de mogelijke schade kan worden beperkt.
Tips om jezelf te beschermen tegen de groeiende dreiging van infostealers:
- Installeer updates
- Gebruik betrouwbare beveiligingssoftware
- Download alleen software en apps van officiële aanbieders
- Kies voor ieder account een sterk en uniek wachtwoord
- Zet tweestapsverificatie (2FA) aan bij zoveel mogelijk van je accounts
- Gebruik een firewall en VPN
