Die ukrainische Cyberpolizei hat in Zusammenarbeit mit US-Strafverfolgungsbehörden einen 18-Jährigen aus Odessa identifiziert, der verdächtigt wird, eine Infostealer-Operation gegen Nutzer eines Online-Shops mit Sitz in Kalifornien betrieben zu haben. Berichten zufolge nutzte der Bedrohungsakteur zwischen 2024 und 2025 informationsdiebische Malware, um die Geräte der Nutzer zu infizieren und Browser-Sitzungen sowie Anmeldedaten zu exfiltrieren. ### Infostealer-Malware: Eine wachsende Bedrohung **Infostealer** sind eine weit verbreitete Form von Malware, die darauf ausgelegt ist, sensible Daten wie Passwörter, Browser-Cookies, Sitzungstoken, Krypto-Wallets und Zahlungsinformationen zu stehlen. Diese gestohlenen Daten werden dann für Kontoübernahmen, Betrug und den Weiterverkauf auf illegalen Märkten verwendet. Die dem Verdächtigen zugeschriebenen Angriffe betrafen rund 28.000 Kundenkonten, wobei Kriminelle 5.800 dieser Konten nutzten, um unbefugte Käufe im Gesamtwert von etwa 721.000 US-Dollar durchzuführen. Die bösartigen Aktivitäten verursachten direkte Verluste von 250.000 US-Dollar, einschließlich Rückbuchungen. „Um das kriminelle Schema durchzuführen, nutzten die Angreifer eine 'Infostealer'-Malware, die heimlich die Geräte der Nutzer infizierte, Anmeldedaten sammelte und diese an Server übermittelte, die von den Angreifern kontrolliert wurden“, teilte die Polizei mit. „Die Informationen wurden dann verarbeitet und über spezialisierte Online-Ressourcen und **Telegram**-Bots verkauft.“ Die Behörden stellten auch die Beteiligung des Verdächtigen an Kryptowährungstransaktionen mit Komplizen fest.  ### Sitzungstoken und Umgehung von MFA Die von der Polizei erwähnten „Sitzungsdaten“ beziehen sich auf Sitzungstoken. Diese Token ermöglichen es Angreifern, sich in die Konten von Opfern einzuloggen, ohne herkömmliche Anmeldedaten zu benötigen, und in einigen Fällen möglicherweise die Multi-Faktor-Authentifizierung (MFA) zu umgehen. Der 18-jährige Verdächtige soll die Online-Infrastruktur verwaltet haben, die für die Verarbeitung, den Verkauf und die Nutzung der gestohlenen Sitzungsdaten verwendet wurde, was auf eine Schlüsselrolle in der Operation hindeutet. ### Beweismittel beschlagnahmt Bei Durchsuchungen in den Wohnungen des Verdächtigen beschlagnahmte die Polizei Mobiltelefone, Computerausrüstung, Bankkarten, elektronische Speichermedien und andere digitale Beweismittel, die ihn mit der illegalen Operation in Verbindung bringen. Diese Beweismittel umfassen den Zugang zu Ressourcen, die für den Verkauf gestohlener Daten und die Verwaltung kompromittierter Konten verwendet wurden, sowie Server-Aktivitätsprotokolle und Konten bei Kryptowährungsbörsen.  Zum jetzigen Zeitpunkt haben die Behörden den Verdächtigen identifiziert, Durchsuchungen durchgeführt und Geräte sowie andere Beweismittel beschlagnahmt, die ihn angeblich mit der Operation in Verbindung bringen. Zum Zeitpunkt der Bekanntgabe gab es keine Verhaftung, was darauf hindeutet, dass die Ermittlungen noch andauern.