Как простая и известная угроза превратилась в ключевой вектор атак на компании.
Вредоносные приложения, скрытно ворующие с компьютера пароли, финансовую и другую полезную информацию, существуют больше двадцати лет, а само слово «инфостилер» вошло в обиход в начале прошлого десятилетия. Но эти относительно простые виды вредоносного ПО стали все чаще появляться в непривычной роли — с них начинались многие крупные взломы и кибератаки последних лет.
До инфостилера удалось проследить, например, кражу данных 500 млн клиентов Ticketmaster и атаку ransomware на Минздрав Бразилии. Главная сложность в борьбе с инфостилерами в том, что их невозможно победить, работая лишь с инфраструктурой и в периметре компании. Нужно учитывать нерабочую активность и личные устройства сотрудников.
Целью инфостилера в первую очередь являются пароли к учетным записям, данные криптокошельков, данные кредитных карт, а также куки из браузера. Последние позволяют украсть у пользователя текущую сессию в онлайн-сервисе. То есть если жертва вошла в браузере в рабочие аккаунты, то, скопировав куки на другой компьютер, злоумышленники в некоторых случаях могут получить к ним доступ, даже не зная учетных данных жертвы.
Кроме того, различные инфостилеры могут:
Среди технических «достижений» инфостилеров за последние годы: новые способы кражи данных из защищенного хранилища браузеров, модульная архитектура, позволяющая собирать новые виды данных с уже зараженных компьютеров, а также переход на сервисную модель поставки этого вредоносного ПО.
Востребованный инфостилер универсален: он должен уметь красть данные из десятков браузеров, криптокошельков, популярных приложений (Steam, Telegram, и т. п.).
Готовое ВПО жуликам приходится очень часто заново выкладывать на различные хостинги. Это необходимо, потому что старые источники ВПО быстро блокируются ИБ-компаниями в сотрудничестве с поисковыми системами и хостинг-провайдерами.
Инфостилеры в основном используются для атак на пользователей Windows и macOS, причем стилеры для macOS — далеко не экзотика, а активно развивающийся и востребованный у преступников сегмент «рынка». Существуют стилеры и для Android.
Очень часто инфостилеры распространяются через спам и фишинговые письма, вредоносную рекламу и методом отравления поисковой выдачи. Помимо кампаний, где инфостилер встраивают во взломанные версии ПО или читы к играм, популярны схемы, где это вредоносное ПО устанавливают под видом обновления браузера или антивируса, а также приложений для видеоконференции.
Но в целом злоумышленники активно отслеживают информационную повестку и «заворачивают» вредоносное ПО в любую подходящую обертку: в этом году были популярны фальшивые генераторы ИИ-картинок, а во время глобального сбоя защитного приложения CrowdStrike даже появился инфостилер, замаскированный под инструкции по восстановлению компьютеров.
Распространители инфостилеров не пытаются воспользоваться украденными данными самостоятельно, а выставляют большие коллекции собранных данных на продажу на подпольных форумах. Затем другие злоумышленники покупают эти подборки логов и с помощью специальных инструментов находят интересные им данные. Одну и ту же подборку могут покупать и переупаковывать много раз: кто-то будет вытаскивать из этой кучи игровые аккаунты, кто-то — реквизиты банковских карт, а кто-то — учетные записи в корпоративных системах.
Пандемия COVID-19 заставила компании шире использовать облачные сервисы и разрешать удаленный доступ к своим системам, поэтому число потенциально уязвимых бизнесов резко выросло. А сотрудники компаний все чаще стали пользоваться удаленным доступом с личных компьютеров, где хуже соблюдаются (или вообще не соблюдаются) различные политики ИБ. Поэтому заражение домашнего компьютера инфостилером в итоге приводит к появлению нежданных гостей в сети организации.
Злоумышленники, получившие корпоративные учетные данные, проверяют их работоспособность и передают эти отфильтрованные данные тем, кто совершает уже целевые кибератаки.
Вредоносные приложения, скрытно ворующие с компьютера пароли, финансовую и другую полезную информацию, существуют больше двадцати лет, а само слово «инфостилер» вошло в обиход в начале прошлого десятилетия. Но эти относительно простые виды вредоносного ПО стали все чаще появляться в непривычной роли — с них начинались многие крупные взломы и кибератаки последних лет.
До инфостилера удалось проследить, например, кражу данных 500 млн клиентов Ticketmaster и атаку ransomware на Минздрав Бразилии. Главная сложность в борьбе с инфостилерами в том, что их невозможно победить, работая лишь с инфраструктурой и в периметре компании. Нужно учитывать нерабочую активность и личные устройства сотрудников.
Современные инфостилеры
Инфостилер — это приложение, которое злоумышленники неизбирательно устанавливают на любые доступные компьютеры для кражи любой полезной информации.Целью инфостилера в первую очередь являются пароли к учетным записям, данные криптокошельков, данные кредитных карт, а также куки из браузера. Последние позволяют украсть у пользователя текущую сессию в онлайн-сервисе. То есть если жертва вошла в браузере в рабочие аккаунты, то, скопировав куки на другой компьютер, злоумышленники в некоторых случаях могут получить к ним доступ, даже не зная учетных данных жертвы.
Кроме того, различные инфостилеры могут:
- похищать переписки в e-mail и мессенджерах;
- воровать документы;
- красть изображения;
- делать скриншоты экрана или конкретных приложений.
Среди технических «достижений» инфостилеров за последние годы: новые способы кражи данных из защищенного хранилища браузеров, модульная архитектура, позволяющая собирать новые виды данных с уже зараженных компьютеров, а также переход на сервисную модель поставки этого вредоносного ПО.
Востребованный инфостилер универсален: он должен уметь красть данные из десятков браузеров, криптокошельков, популярных приложений (Steam, Telegram, и т. п.).
Готовое ВПО жуликам приходится очень часто заново выкладывать на различные хостинги. Это необходимо, потому что старые источники ВПО быстро блокируются ИБ-компаниями в сотрудничестве с поисковыми системами и хостинг-провайдерами.
Инфостилеры в основном используются для атак на пользователей Windows и macOS, причем стилеры для macOS — далеко не экзотика, а активно развивающийся и востребованный у преступников сегмент «рынка». Существуют стилеры и для Android.
Очень часто инфостилеры распространяются через спам и фишинговые письма, вредоносную рекламу и методом отравления поисковой выдачи. Помимо кампаний, где инфостилер встраивают во взломанные версии ПО или читы к играм, популярны схемы, где это вредоносное ПО устанавливают под видом обновления браузера или антивируса, а также приложений для видеоконференции.
Но в целом злоумышленники активно отслеживают информационную повестку и «заворачивают» вредоносное ПО в любую подходящую обертку: в этом году были популярны фальшивые генераторы ИИ-картинок, а во время глобального сбоя защитного приложения CrowdStrike даже появился инфостилер, замаскированный под инструкции по восстановлению компьютеров.
Криминальная экосистема инфостилеров
В киберпреступности устоялось четкое разделение «труда». Одни злоумышленники разрабатывают сами инфостилеры и инструменты управления ими. Другие распространяют эти изделия на устройства жертв. Третьи пользуются украденными данными. Эти три категории преступников чаще всего не входят в одну группировку, а работают независимо и состоят друг с другом в коммерческих отношениях. В частности, первые все чаще предлагают инфостилеры в виде услуги, доступной по подписке (MaaS, Malware as a Service), да еще с удобной облачной панелью доступа к настройке.Распространители инфостилеров не пытаются воспользоваться украденными данными самостоятельно, а выставляют большие коллекции собранных данных на продажу на подпольных форумах. Затем другие злоумышленники покупают эти подборки логов и с помощью специальных инструментов находят интересные им данные. Одну и ту же подборку могут покупать и переупаковывать много раз: кто-то будет вытаскивать из этой кучи игровые аккаунты, кто-то — реквизиты банковских карт, а кто-то — учетные записи в корпоративных системах.
Пандемия COVID-19 заставила компании шире использовать облачные сервисы и разрешать удаленный доступ к своим системам, поэтому число потенциально уязвимых бизнесов резко выросло. А сотрудники компаний все чаще стали пользоваться удаленным доступом с личных компьютеров, где хуже соблюдаются (или вообще не соблюдаются) различные политики ИБ. Поэтому заражение домашнего компьютера инфостилером в итоге приводит к появлению нежданных гостей в сети организации.
Злоумышленники, получившие корпоративные учетные данные, проверяют их работоспособность и передают эти отфильтрованные данные тем, кто совершает уже целевые кибератаки.
Как защититься от инфостилеров
Защита каждого корпоративного компьютера и смартфона (EDR, EMM) необходима, но недостаточна. Нужно предотвратить заражение инфостилерами личных компьютеров сотрудников или смягчить последствия этого события. Решать эту проблему можно несколькими способами. Некоторые из них дополняют друг друга.- Запретить доступ к корпоративным системам с личных устройств. Это самый суровый, неудобный и не всегда возможный метод решения проблемы. В любом случае, он не решает проблему целиком. Например, если для рабочих задач используются публичные облачные сервисы (почта, хранение файлов, CRM), это ограничение, скорее всего, не удастся воплотить.
- С помощью групповых политик запретить синхронизацию паролей в браузерах на корпоративном компьютере, чтобы они не перетекли на личные устройства.
- Внедрить на периметре организации, во всех важных внутренних и публичных сервисах двухфакторную аутентификацию, устойчивую к фишингу.
- Потребовать установить на личные ноутбуки и смартфоны корпоративную систему управления мобильными устройствами (EMM). Это позволяет контролировать защищенность личных устройств (проверять, имеют ли они свежие базы защитного решения, не отключено ли решение, защищены ли устройства паролем и шифрованием). Правильно настроенная система EMM не затрагивает личные файлы и приложения сотрудника, соблюдая на устройстве разделение рабочего и личного.
- Развернуть в организации продвинутую систему управления Identity (учетными записями сотрудников, устройств, программных служб), которая позволит находить и оперативно блокировать аномально работающие учетные записи, например предотвращать ситуации, когда сотрудник пытается войти в ненужные по работе системы или работает из подозрительного местоположения (например из экзотической страны).
- Приобрести услугу по мониторингу даркнета — подрядчик сообщит о появлении данных компании (включая украденные учетные записи) в новых утечках.
