Moderne Infostealer-Malware umgeht den Passwortschutz von Google-Konten durch Übernahme von Session-Tokens – selbst Passwortwechsel und 2FA können versagen.
Cyberkriminelle haben 2024 eine neue Generation von Infostealer-Malware entwickelt, die nicht nur Passwörter stiehlt, sondern dauerhaften Zugriff auf Google-Konten ermöglicht. Diese Angriffsmethode nutzt Schwachstellen in Googles Token-Management aus.
Infostealer der neuen Generation
Während frühere Malware-Generationen hauptsächlich Passwörter und Cookies stahlen, gehen moderne Infostealer wie Lumma, Raccoon und StealC deutlich raffinierter vor. Sie nutzen undokumentierte Google-APIs, um gültige Session-Tokens zu generieren, die auch nach Passwort-Changes funktionieren.
Die Schadsoftware sammelt nicht nur Anmeldedaten, sondern auch Browser-Schlüssel und Authentifizierungstokens. Besonders perfide: Die gestohlenen Tokens werden über die Google-interne Synchronisations-API erneuert, wodurch der Zugriff praktisch unbegrenzt bleibt.
Exploit nutzt Google-Schwachstelle aus
Sicherheitsforscher haben bestätigt: Die Malware missbraucht Googles MultiLogin-Endpunkt, der eigentlich für die nahtlose Synchronisation zwischen Geräten gedacht ist. Über diese interne Schnittstelle können Angreifer verschlüsselte Tokens herunterladen und mit den gestohlenen Browser-Schlüsseln entschlüsseln.
Das Resultat: Vollständige Kontrolle über Gmail, Google Drive, YouTube und alle anderen Google-Services – ohne das ursprüngliche Passwort zu kennen. Die generierten Cookies sind praktisch nicht von legitimen zu unterscheiden.
Warum Passwortwechsel nicht mehr hilft
Der Grund für die Wirkungslosigkeit von Passwort-Änderungen liegt in Googles Token-Architektur: Die Authentifizierungstoken sind nicht direkt an das Passwort gekoppelt, sondern werden über separate Refresh-Mechanismen verwaltet.
Selbst wenn ihr euer Passwort ändert, bleiben die gestohlenen und erneuerten Tokens aktiv. Google hat zwar Schutzmaßnahmen implementiert, aber die Malware umgeht diese durch geschickte Manipulation der Browser-Umgebung.
Problematisch wird es besonders bei Accounts mit aktivierter Zwei-Faktor-Authentifizierung: Auch hier können die Angreifer durch Token-Manipulation den zweiten Faktor umgehen, da sie bereits „vertrauenswürdige“ Session-Cookies besitzen.
Selbst der Wechsel eines Passwortes macht keinen Unterschied
Googles Reaktion und aktuelle Lage
Google hat mittlerweile auf die Bedrohung reagiert und verschiedene Schutzmaßnahmen eingeführt. Dazu gehören verbesserte Anomalie-Erkennung und strengere Token-Validierung. Dennoch bleibt das Problem bestehen, da die Grundarchitektur der API nicht grundlegend geändert wurde.
Die Suchmaschinen-Firma empfiehlt Nutzern verstärkt die Verwendung von Hardware-Security-Keys und die Aktivierung der erweiterten Kontosicherheit. Zusätzlich wurden die Algorithmen zur Erkennung verdächtiger Anmeldungen verschärft.
Verbreitung und Underground-Markt
Die Token-Stealing-Funktionalität wird mittlerweile als „Cookie-Restore“ oder „Token-Refresh“ im Darkweb verkauft. Cyberkriminelle zahlen zwischen 1000 und 5000 Dollar für Malware-Pakete mit dieser Funktion.
Besonders aktiv sind dabei die Entwickler von RedLine, Vidar und Aurora Stealer. Diese Malware-Familien haben ihre Tools um spezielle Module erweitert, die gezielt Google-Tokens manipulieren können.
Effektive Schutzmaßnahmen für 2026
Der beste Schutz bleibt die Prävention: Moderne Endpoint-Detection-Tools erkennen viele Infostealer bereits beim ersten Ausführungsversuch. Windows Defender und andere Security-Suiten haben ihre Signaturen entsprechend angepasst.
Falls ihr vermutet, dass euer System kompromittiert wurde, reicht ein Passwort-Wechsel nicht aus. Ihr müsst aktiv alle Browser-Sessions beenden und sämtliche gespeicherten Anmeldedaten löschen.
Besonders wichtig: Nutzt Hardware-Security-Keys wie YubiKey oder Google Titan. Diese bieten auch gegen Token-Manipulation noch zuverlässigen Schutz, da sie eine zusätzliche Authentifizierungsebene einführen.
Regelmäßige Überprüfung der aktiven Sessions über die Google-Kontoverwaltung hilft dabei, verdächtige Zugriffe zu entdecken. Google zeigt dort alle aktiven Geräte und deren letzte Aktivität an.
Ausblick und Empfehlungen
Die Token-Manipulation wird voraussichtlich zum Standard-Feature moderner Infostealer werden. Microsoft und andere Anbieter sind bereits dabei, ähnliche Schwachstellen in ihren OAuth-Implementierungen zu schließen.
Für Unternehmen wird es immer wichtiger, Zero-Trust-Architekturen zu implementieren und nicht nur auf Passwort-basierte Sicherheit zu setzen. Die Zeiten, in denen ein Passwort-Wechsel nach einem Vorfall ausreichte, sind definitiv vorbei.
Privatnutzer sollten spätestens jetzt auf Hardware-Keys umsteigen und regelmäßig ihre aktiven Sessions überprüfen. Die Investition in einen 30-Euro-Security-Key kann deutlich teurer werdende Folgeschäden verhindern.
Zuletzt aktualisiert am 17.02.2026
