Инфостилеры привели к утечке информации миллионов пользователей

Кража паролей стала основным типом утечек информации. В результате заражения компьютеров происходит утечка информации многих миллионов пользователей, в том числе администраторов корпоративных систем. Масштаб угрозы огромный. По данным исследователей, в прошлом году утекло около 4 млрд паролей. Утечка информации об аккаунтах постоянно подпитывает подпольную экономику данных.

Специалисты по информационной безопасности бьют тревогу: в последнее время нарастает масштаб угроз, связанных с кражей учетных данных пользователей операционных систем, различных почтовых сервисов и т.д.

Компания KELA, занимающаяся исследованием киберугроз и мониторингом киберпреступности, в феврале выпустила отчет, в котором сообщила, что в 2024 году в Сети зафиксировано распространение 3,9 млрд паролей, которые, по всей видимости, были получены в результате использования инфостилеров — вредоносного ПО, направленного на кражу информации, включая учетные данные. Всего по всему миру было заражено более 4,3 млн вычислительных машин.

По данным KELA, более 75% зараженных систем содержали один из трех штаммов инфостилеров — Lumma, StealC и Redline.

Злоумышленники заставляют пользователей загрузить вредоносные программы обманным путем. Зачастую инфостилеры маскируются под обновления легального ПО или приложений. Порой инфостилеры вложены в фишинговые письма, где адресату, например, могут отправлять документы под видом налоговой службы или судебных органов. После развертывания на целевой машине вредоносное ПО проверяет различные файлы на предмет конфиденциальной информации, похищая данные о криптокошельках, учетные данные, файлы cookie-сеансов и многое другое.

Вредоносная активность с использованием инфостилеров включает в себя как атаки с целью вымогательства, так и шпионские кампании. Как отмечается в отчете, привлекательность программ-инфостилеров для киберпреступности обусловлена их эффективностью и масштабируемостью, что позволяет злоумышленникам скомпрометировать большое количество учетных записей, как личных, так и корпоративных. При этом списки украденных логинов и паролей продаются на подпольных форумах и таким образом служат средствами проведения дальнейших атак, в том числе с целью получения новых учетных данных, которые можно выгодно продать.

Почти 40% зараженных машин, включенных в «озеро данных» KELA, содержали учетные данные для корпоративных информационных систем, включая системы управления контентом, сервисы электронной почты, службы Active Directory и удаленные рабочие столы.

Случившийся в октябре 2024 года масштабный взлом розничной сети Hot Topic — всего лишь один из ярких примеров ущерба, который могут нанести инфостилеры.

Недавно исследователи безопасности обнаружили Telegram-канал Alien Txtbase, на котором распространялись крупные объемы учетных данных, украденных с помощью вредоносного ПО. В общей сложности на канале были представлены 23 млрд строк логов инфостилеров. В этой сокровищнице данных было 284 млн уникальных адреса электронной почты. Проанализировав представленные записи, исследователь Трой Хант (Troy Hunt) добавил на свой ресурс HIBP 244 млн новых скомпрометированных паролей.

Чтобы минимизировать риски заражения систем вредоносным ПО для кражи информации, исследователи KELA рекомендуют внедрить многофакторную аутентификацию (MFA) для всех учетных записей, изолировать критические системы для ограничения возможности для злоумышленников перемещаться «вбок», а также внедрить современные решения по фильтрации электронной почты для предотвращения попыток фишинга. При отсутствии MFA третьи лица могут скрытно действовать под видом сотрудников, получая доступ к внутренним учетным записям и сетям.

Прогнозы экспертов неутешительны. Аналитики KELA полагают, что в 2025 году угрозы заражения систем с целью кражи паролей только усилятся.

Алон Гал (Alon Gal), соучредитель команды по разведке угроз Hudson Rock, предупреждает, что случаи заражения инфостилерами имеются у крупных оборонных подрядчиков США, в армии, на флоте и даже в ФБР и правительственной Счетной палате. При этом зачастую целевые атаки стоят совсем недорого, в расчете всего 10 долларов за один заражаемый компьютер. А распространение на подпольных форумах предложений услуг типа «вредоносное ПО как услуга» (malware-as-a-service) снижает порог входа для хакеров.