Czy pasujesz do jednego z profili najczęstszych ofiar infostealerów?

Jak działają infostealery?

Infostealer to rodzaj złośliwego oprogramowania stworzonego w celu infekowania systemów komputerowych, aby wykradać lokalnie przechowywane dane, takie jak zapisane nazwy użytkowników i hasła, dane autouzupełniania w przeglądarce, informacje finansowe i inne poufne informacje.

Powszechną taktyką jest nakłonienie ofiary do uruchomienia pliku lub instalatora z pułapką. Atakujący zazwyczaj wykorzystują w tym celu phishing, złośliwe reklamy lub technikę typu „kliknij teraz, aby naprawić”. Po uruchomieniu złośliwe oprogramowanie gromadzi dane z popularnych systemów pamięci masowej (takich jak przeglądarki internetowe, poczta e-mail i menedżery haseł), a następnie pakuje skradzione informacje do pliku dziennika i wysyła go na serwer infrastruktury kontrolowany przez atakującego. Wiele operacji korzysta z panelu zaplecza, który odbiera te logi, porządkuje je i ułatwia ich wyszukiwanie.

Po wykradzeniu danych, operatorzy infostealerów sprzedają ich logi – handlują nimi w prywatnych społecznościach lub przekazują je swoim kolegom, którzy następnie wykorzystują skradzione dane do dalszych ataków, takich jak przejęcie kont i oszustwa.

Jak infostealery dostają się do urządzenia?

Infostealery zazwyczaj infekują urządzenie, gdy użytkownik zostaje oszukany i sam uruchamia złośliwy plik. Atakujący wykorzystują socjotechnikę i kanały dystrybucji, które sprawiają, że złośliwe oprogramowanie wygląda na „legitne”, użyteczne lub pilne. Najczęstsze drogi infekcji to:

Scrackowane oprogramowanie, cheaty, mody i „darmowe” narzędzia

Infostealery mogą być rozpowszechniane za pośrednictwem scrackowanego oprogramowania, kodów do gier lub modów oraz nieoficjalnych instalatorów, w których złośliwe oprogramowanie podczepia się do zaufanych programów. Pliki te są udostępniane na stronach z torrentami, platformach hostingowych, forach i w opisach filmów, gdzie użytkownicy zazwyczaj nie spodziewają się zagrożeń lub ignorują komunikaty bezpieczeństwa. Po uruchomieniu, zainfekowane złośliwe oprogramowanie działa równolegle z reklamowanym oprogramowaniem i gromadzi zapisane dane.

Fałszywe strony pobierania, złośliwe reklamy i pułapki sponsorowanych wyników wyszukiwania

Infostealery rozprzestrzeniają się również za pośrednictwem fałszywych reklam, sponsorowanych wyników wyszukiwania i fałszywych stron pobierania, które próbują podszywać się pod zaufane witryny z oprogramowaniem. Strony te pojawiają się, gdy użytkownicy szukają popularnych narzędzi, aktualizacji lub poprawek i są na tyle dopracowane, że można je łatwo sprawdzić wizualnie. Jednak jedno nieostrożne kliknięcie fałszywego przycisku pobierania może zamienić oprogramowanie w narzędzie kradnące informacje.

Złośliwe rozszerzenia przeglądarki

Infostealery mogą być również rozpowszechniane za pośrednictwem złośliwych rozszerzeń przeglądarki, które imitują zaufane narzędzia, takie jak programy blokujące reklamy, dodatki zwiększające produktywność czy narzędzia do śledzenia cen. 

Po zainstalowaniu w przeglądarce, rozszerzenia te działają w zaufanym środowisku, uzyskując bezpośredni dostęp do zapisanych haseł, plików cookie i aktywnych sesji. Dzięki temu kamuflażowi złośliwe rozszerzenie może pozostać aktywne długo po tym, jak zdobędzie dane, po które przyszło.

Linki i pliki udostępniane za pośrednictwem komunikatorów i pamięci masowej w chmurze

Programy wykradające dane mogą również dostać się na urządzenie za pośrednictwem linków i plików udostępnianych w komunikatorach, takich jak czaty grupowe, serwery i wiadomości bezpośrednie, a także za pośrednictwem linków do chmury publikowanych na forach lub w mediach społecznościowych. 

Atakujący udostępniają „darmowe narzędzia”, „funkcje premium” lub „poprawki”, a następnie wykorzystują wbudowane hostingi plików lub współdzielone foldery do dostarczania zainfekowanych archiwów i instalatorów. Gdy ofiara otwiera plik, złodziej informacji uruchamia się i rozpoczyna gromadzenie danych przechowywanych lokalnie.

Sieci loaderów i kampanie PPI (pay-per-install – płatność za instalację)

Czasami infostealery są przesyłane na urządzenia przez złośliwe oprogramowanie typu loader, czyli program działający już na urządzeniu, którego jedynym celem jest pobieranie i uruchamianie innych złośliwych plików. Programy typu loader są zazwyczaj instalowane w ten sam sposób, co infostealery – poprzez pobieranie zainfekowanych plików, załączniki phishingowe lub linki, ale pozostają na urządzeniach, aby atakujący mogli później przydzielać im „nowe zadania”. Przestępcy płacą tym sieciom za przesyłanie programów kradnących informacje na zainfekowane komputery, w zależności od kraju lub ilości. 

Ten model eliminuje konieczność dwukrotnego oszukiwania tego samego użytkownika i sprawia, że ​​dostarczanie złośliwego oprogramowania staje się zautomatyzowaną usługą.

Profile ofiar najczęściej atakowanych przez infostealery

Użytkownicy, którzy są najbardziej narażeni na ataki kradzieży danych, to zazwyczaj ci, których urządzenia zawierają mieszankę zapisanych haseł, zsynchronizowanych loginów i otwartych kart z aktywnymi sesjami. W wielu przypadkach pojawiają się te same typy użytkowników, kształtowane przez to, co robią online i jakich narzędzi używają. Poniższe profile przedstawiają najpopularniejsze typy ofiar i pokazują, jak pozornie normalne zachowania mogą stać się łakomym kąskiem dla cyberprzestępców.

Profil użytkownika „wiecznie zalogowanego”

Typ „wiecznie zalogowany” opisuje głównie użytkowników systemu Windows, którzy pozostają zalogowani na swoich kontach i spędzają dużo czasu w sieciach społecznościowych (takich jak Facebook, Instagram i X), płatnych platformach multimedialnych i streamingowych, sklepach internetowych oraz serwisach finansowych. 

Użytkownicy ci zazwyczaj zapisują hasła i utrzymują aktywne sesje, ponieważ korzystają ze swoich kont codziennie i rzadko się wylogowują. Z perspektywy atakującego to łatwy cel.

Profil gracza

Profil „gracza” obejmuje użytkowników, którzy spędzają czas w dużych ekosystemach gamingowych i regularnie instalują programy uruchamiające gry, mody, kody i dodatki firm trzecich, aby dostosowywać lub odblokować rozgrywkę. Ta grupa użytkowników uruchamia więcej plików firm trzecich niż większość, co zwiększa prawdopodobieństwo pobrania pliku z pułapką i stworzenia łatwego punktu wejścia dla atakujących. 

Infostealery infekują urządzenia docelowych „graczy” za pomocą scrackowanych gier, nieoficjalnych modów lub „darmowych” narzędzi do optymalizacji wydajności z domieszką złośliwego oprogramowania. Konta graczy zazwyczaj przechowują dane płatnicze i zakupy cyfrowe, a ich sesje przeglądarkowe zazwyczaj pozostają aktywne, co pomaga wyjaśnić, dlaczego operatorzy infostealerów wybierają tę grupę użytkowników.

Profil specjalisty IT

Choć może to zabrzmieć ironicznie, profil „specjalisty IT” jest głównym celem ataku cyberprzestępców. Złodzieje informacji mocno uderzają w specjalistów IT, ponieważ ich punkty końcowe (głównie komputery używane do celów służbowych lub administracyjnych) gromadzą w jednym miejscu wartościowe dane uwierzytelniające i dostęp administracyjny. Często przechowują one loginy administratorów, tokeny API i dane uwierzytelniające dostęp zdalny, a także codzienne dane przeglądania. 

Jeśli oszust wyląduje na takim urządzeniu, skradzione dane przeglądarki mogą stać się pierwszym celem prowadzącym do uzyskania dostępu do wewnętrznych narzędzi i infrastruktury.

Jak kradzież plików cookie pokonuje hasła i uwierzytelnianie wieloskładnikowe (MFA)

Wraz z poprawą bezpieczeństwa logowania, taktyka kradzieży informacji uległa zmianie. Operatorzy kradzieży informacji częściej atakują uwierzytelniające pliki cookie i tokeny sesji niż hasła. Ta zmiana odzwierciedla obecny sposób logowania się do kont. Coraz więcej użytkowników korzysta z menedżerów haseł i uwierzytelniania wieloskładnikowego (MFA), więc atakujący skupiają się na danych, które mogą ominąć te zabezpieczenia.

Pliki cookie i tokeny są tworzone po pomyślnym zalogowaniu, co oznacza, że ​​czasami mogą one umożliwić atakującemu dostęp do konta bez wyświetlania kolejnego ekranu logowania lub etapu MFA. Ryzyko zwiększa czas ważności sesji. Skradziony token może być ponownie używany do momentu wygaśnięcia sesji lub odwołania go przez usługę, dając atakującym czas na poruszanie się po usługach, do których użytkownik jest zalogowany.

Na marketplace’ach w darknecie skradzione dane sesji są teraz traktowane jak osobny towar, a „świeżość” logu bezpośrednio determinuje jego cenę. Przejście od kradzieży haseł do kradzieży plików cookie sesji i tokenów jest dobrym przykładem tego, jak atakujący reagują i adaptują się do silniejszych mechanizmów uwierzytelniania.

Jak zmniejszyć ryzyko infekcji złośliwym oprogramowaniem typu infostealer

Aby zmniejszyć ryzyko zainfekowania urządzenia złośliwym oprogramowaniem typu infostealer, należy ograniczyć liczbę kont, które urządzenie przechowuje jednocześnie, a tym samym zasięg ataku, jeśli infostealer je zhakuje. Chodzi o to, aby zmniejszyć promień rażenia poprzez ograniczenie liczby kont i sesji odblokowujących inne konta lub usługi. Poniższe kroki przedstawiają sposoby na osiągnięcie tego celu bez konieczności wprowadzenia drastycznych zmian w internetowych nawykach.

• Chroń przede wszystkim swoje najwrażliwsze konta. Najpierw zabezpiecz swój główny adres e-mail i login, a następnie zastosuj te same zabezpieczenia w aplikacji banku, sklepach i usługach związanych z kluczami. Używaj uwierzytelniania wieloskładnikowego (MFA) i kluczy dostępu (passkeys) wszędzie tam, gdzie są obsługiwane, i staraj się nie chronić swoich kont jedynie hasłami.
• Zadbaj o to, aby Twoja przeglądarka zapamiętywała mniej. Regularnie sprawdzaj hasła przechowywane w przeglądarce lub menedżerze haseł, usuwaj te, których już nie używasz, i wylogowuj się z sesji, które wydają Ci się nieznane. Aktualizuj również system operacyjny i przeglądarkę, ponieważ starsze wersje są łatwiejsze do wykorzystania i trudniejsze do odzyskania po infekcji infostealerem.
• Zachowaj ostrożność przy pobieraniu plików i „darmowych” narzędzi. Unikaj instalowania nieoficjalnych programów typu loader lub pirackiego oprogramowania. A jeśli narzędzie prosi o wyłączenie zabezpieczeń lub ominięcie komunikatów bezpieczeństwa, aby je zainstalować, potraktuj to jako sygnał ostrzegawczy i zrezygnuj.
• Uważaj na sygnały przejęcia i reaguj szybko. Traktuj nieoczekiwane alerty logowania, e-maile z resetowaniem hasła, o które nie prosiłeś, oraz logowania na nowych urządzeniach jako sygnały przejęcia konta. Zmieniaj hasła na innym urządzeniu (innym niż to, które podejrzewasz o infekcję), odwołuj aktywne sesje, jeśli usługa na to pozwala, i sprawdź ustawienia odzyskiwania konta, aby uniemożliwić atakującym ponowne zalogowanie się za pomocą wiadomości e-mail lub kodów zapasowych.