Vad är infostealers och hur fungerar de?
Infostealer är en kategori av datorvirus som är särskilt utvecklade för att spridas mellan datorsystem och stjäla lokalt lagrade data som användarnamn, lösenord, autofyll-strängar i webbläsaren, betalningsuppgifter och annan känslig personlig information.
En vanlig strategi som cyberbrottslingar använder är att lura offer att öppna en skadlig fil eller ett installationsprogram innehållandes virus. De inleder i regel dessa attacker genom nätfiske, falska annonser (malvertising) eller genom social manipulation – till exempel “tryck på knappen så fixar vi det”-påståenden. När det skadliga programmet väl infekterat datorn samlar det automatiskt in information från relevanta platser som webbläsare, e-postklienter och lösenordshanterare. Datan lagras i en loggfil som sedan skickas till en server som angriparen har kontroll över. Dessa cyberbrottslingar använder ofta automatiska system som tar emot och organiserar loggarna i ett strukturerat format så att de är enkla att söka igenom.
Efter en fullbordad datastöld säljs loggarna vidare i utbyte mot pengar eller andra uppgifter som det kriminella nätverket har tillgång till. Informationen kan därefter användas av andra (eller samma) kriminella individer eller gäng för att följa upp med ytterligare angrepp som bedrägeri eller stöld av användarkonton.
Så hamnar infostealers på din enhet
Det vanligaste sättet för infostealers att infektera en enhet är genom att användaren luras till att själv öppna en skadlig fil. Cyberbrottslingar använder social manipulation och distribuerar viruset över till synes legitima plattformar för att inte väcka misstanke. De försöker stressa offret och påpekar gärna hur “användbart” deras program (virus) är. Nedan följer de vanligaste sätten att få ett infostealer-virus.
Piratkopering, spelfusk, mods och “gratisverktyg”
Infostealers kan spridas genom piratkopierad mjukvara, fuskprogram för spel, mods till spel och inofficiella installationsfiler som efterliknar eller direkt imiterar andra legitima program. Dessa filer delas via bland annat torrentsajter, fildelningstjänster, forum, länkar i videobeskrivningar och på andra platser där användare har en tendens att avaktivera varningsmeddelanden och ignorera säkerhetsrelaterade promptar. När användaren öppnar filen körs viruset parallellt med det program som agerade som lockbete utan deras vetskap och stjäl lagrade data.
Falska nedladdningssidor, annonser och sponsrade sökningar
Infostealers sprids också genom falska annonser, sponsrade sökresultat och falska nedladdningssidor som imiterar legitima mjukvaruleverantörer och utvecklare. Dessa sidor dyker upp i sökresultatet när man letar efter populära verktyg, uppdateringar eller drivrutiner och är så pass välkonstruerade att de ofta undgår att bli upptäckta av ouppmärksamma användare. Allt som krävs för att få virus är att man trycker på fel nedladdningslänk och råkar installera en infostealer tillsammans med (eller istället för) programmet man är ute efter.
Skadliga webbläsartillägg
Infostealers kan också installeras genom skadliga webbläsartillägg som utger sig för att vara legitima verktyg – till exempel annonsblockerare, produktivitetsverktyg och prisbevakare. När dessa skadliga tillägg installeras i webbläsaren har de fri tillgång till dess annars säkra sandlådemiljö och kan direkt stjäla lagrade lösenord, webbkakor och information från aktiva sessioner. Ett skadligt webbläsartillägg kan vara svårt att upptäcka till. Det kan ta lång tid innan man upptäcker att man har råkat ut för ett angrepp.
Länkar och filer som delas genom chattappar och via molnlagring
Infostealers sprids också via gruppchatter, servrar och direktmeddelanden på chattplattformar genom skadliga länkar och filer som delas i chatten. Virus kan även spridas via länkar på forum och sociala medier som leder vidare till en annars legitim molnlagringstjänst där skadliga filer går att ladda ned. Cyberbrottslingar påstår sig erbjuda “gratisverktyg”, “premiuminnehåll”, och “lösningar” för att fixa kända problem. Det skickar en länk till en delad mapp på en molnlagringstjänst som innehåller en arkivfil (vanligtvis .zip eller .rar) eller ett installationsprogram som kammar din enhet på lagrade data.
Loader-nätverk och bedrägliga “installera för att få betalt”-kampanjer
I vissa fall hamnar infostealers på din enhet genom att andra separata så kallade “loader”-virus laddar ner dem. Ett loader-virus är ett litet svårupptäckt program som körs i bakgrunden, och dess enda funktion är att ladda ned och öppna skadliga filer. Loaders installeras vanligtvis – precis som infostealers – genom skadlig programvara, bifogade filer i nätfiskemeddelanden eller länkar till bedrägliga hemsidor. Syftet med loaders är att passivt stanna kvar på enheten för att först senare installera och öppna skadlig programvara. Cyberbrottslingar använder nätverk av dessa loaders för att kunna installera infostealers på flera enheter samtidigt. De kan också rikta sina angrepp mot de enheter som enligt framställd offerprofil sannolikt har mest tillgänglig information.
Beteendemönster som ökar risken att utsättas för infostealers
Ju större sannolikheten är att du har värdefull information som lösenord, synkade inloggningsessioner, pågående webbsessioner, öppna tabbar, eller aktiva program som körs på din enhet, desto större är risken att du blir mål för en infostealer-attack. Samma offerprofil dyker gång på gång upp i samband med fall där infostealers har använts. Dessa offerprofiler bygger på analys av beteendemönster. Till exempel vilka verktyg som används och vad användaren överlag brukar göra på sin dator. Till synes normala beteendemönster kan göra dig till ett attraktivt mål för angrepp.
Individen som alltid är inloggad
Användare som aldrig stänger av sin dator, loggar ut från tjänster och stänger av sina program faller in i den här kategorin. Det är individer, oftast Windows-användare, som spenderar mycket tid på sociala nätverk (t.ex Facebook, Intagram och X), prenumererar på streamingplattformar och andra underhållningstjänster, shoppar mycket på nätet och använder datorn för känsliga ekonomiska ärenden. Det är nämligen mer sannolikt att dessa användare lagrar sina lösenord och håller webbläsarsessioner aktiva under längre perioder. De loggar sällan ut och använder sin enhet nästan varje dag. Dessa individer är lågt hängande frukt för cyberbrottslingar.
Spelintresserade “gamers”
“Gamer”-profilen inkluderar individer som spenderar mycket tid på datorspel och tillhörande digitala ekosystem. De installerar regelbundet spel, såklart, men också launcher-program, fusk, mods och tillägg som kommer från tredje part och som på olika sätt påstås förbättra spelupplevelsen. Denna gruppering är mer villig att öppna program från udda källor, vilket ökar risken för virus. Spel erbjuder en smidig inkörsport för cyberbrottslingar. Infostealers installeras på offrets enhet genom piratkopierade spel, inofficiella mods och “gratisverktyg” fulla av virus som påstås kunna förbättra prestanda. Det finns också en god chans att betalningsuppgifter ligger lagrade på någon av gamerns spelkonton eftersom köp i spel numera är vanligt. Gamers är också mer benägna att ha aktiva webbläsarsessioner under längre perioder.
“IT-proffset”
Ironiskt nog är faktiskt IT-proffs ofta ett lukrativt mål för cyberbrottslingar. Det beror på att individer som arbetar inom IT (speciellt säkerhet) ofta har åtkomst till värdefulla slutpunkter, har administrativ tillgång genom sin arbetsdator eller personliga enheter och besitter värdefull information. De lagrar ofta inloggningar med administrativ behörighet, API-nycklar (tokens) och inloggningsuppgifter för fjärråtkomst tillsammans med vanliga webbläsardata. Allting på en och samma plats, med andra ord. Om en infostealer installeras på “IT-proffsets” enhet så kan stulen webbläsardata och andra uppgifter vara inkörsporten till resten av nätverket och organisationens digitala infrastruktur.
Hur stöld av webbkakor det möjligt att kringgå lösenord och flerfaktorsautentisering
Inloggningssäkerhet blir visserligen bättre med tiden, men infostealer-strategier genomgår också kontinuerliga anpassningar för att kunna kringgå dessa skydd. Numera är det vanligt att infostealers främst ger sig på webbkakor som används för autentisering och sessionstokens snarare än enbart lösenord. Orsaken till denna förändring är att användare har börjat nyttja starkare kontoskyddsmetoder som lösenordshanterare och flerfaktorsautentisering. Cyberbrottslingar försöker alltså istället samla in data som kringgår dessa säkerhetslösningar.
Webbkakor och sessionstokens används för att lagra information i webbläsaren. När du loggar in på ditt konto får du webbkakor som håller dig inloggad trots att du stänger ned sidan. Om en cyberbrottsling får tag på dessa uppgifter kan de ta över ditt konto utan att behöva ta sig förbi en inloggningssida eller flerfaktorsautentiseringsprocess. Vad som verkligen ökar risken i det här sammanhanget är sessionens livslängd. Om förövaren lyckas stjäla sessionstokens kan de återanvändas om och om igen tills det att sessionen löper ut eller att tjänsten loggar ut användaren automatiskt.
På den svarta marknaden säljs stulen sessionsdata vidare precis som lösenord och andra känsliga uppgifter. Sessionsdata skiljer sig dock i bemärkelsen att det främst är “färskheten” på produkten som avgör priset. Detta är ett tydligt exempel på hur cyberbrottslingar anpassar sina metoder nu när autentiseringsprocessen har blivit starkare.
Så minskar du risken att drabbas av infostealers
För att minska risken för att din enhet ska drabbas av infostealer-virus bör du först och främst begränsa hur många användarkonton du är inloggad på samtidigt och hur länge inloggningarna är aktiva. Detta avgör hur mycket information en infostealer kan få tag på. Grundidén är att minska antalet sessioner öppna samtidigt och att stänga oanvända tjänster. Nedan följer några tips på hur du kan göra din digitala tillvaro säkrare utan att behöva ställa om hela din vardagsrutin.
- Prioritera dina känsligaste konton. Om man har tusentals konton som man inte bryr sig om och som alla saknar känslig information är det ju onödigt att försöka skydda dem. Se till att prioritera de konton som innehåller störst andel känslig information. Tjänster som e-post, lösenordshanterare och appar som används för flerfaktorsautantisering är viktigast. Om någon får tag på din e-post kan de till exempel återställa lösenord och på så sätt få tag på ytterligare konton. När du har tagit hand om det kan du därefter säkra dina andra konton. Använd flerfaktorsautentisering där du kan och försök att inte enbart förlita dig på lösenord.
- Webbläsarinställningar som främjar säkerhet. Gå regelbundet igenom de lösenord som din webbläsare och lösenordshanterare sparar och ta bort allt som inte längre används. Se också till att logga ut från alla tjänster som du för närvarande inte är aktiv på och webbsessioner som du inte känner igen. Håll ditt operativsystem och din webbläsare uppdaterade för att undvika äldre versioners säkerhetsbrister.
- Vidta försiktighet när du laddar ned filer och “gratisverktyg”. Undvik att installera inofficiella launchers, öppna skumma installationsprogram och ladda ned piratkopierad mjukvara. Om ett verktyg ber dig att avaktivera aktiva säkerhetsverktyg som antivirus bör du omedelbart stänga programmet och radera tillhörande filer.
- Agera snabbt och håll utkik efter varningssignaler. Om du får notiser om oväntade inloggningar, mejl om lösenordsåterställningar som du inte aktiverat och andra oväntade varningssignaler bör du omedelbart ändra lösenord, stänga aktiva webbsessioner och ta en titt på kontots återställningsinställningar så att angriparna inte kan återfå åtkomst genom e-post- eller backup-koder. Använd helst en separat enhet för detta för att minska risken för återinfektion.
Nätsäkerhet är bara ett klick bort.
Håll dig säker med världens ledande VPN
