Инфостилеры

Инфостилеры (Infostealers, похитители информации) — это категория вредоносного программного обеспечения, предназначенного для скрытного поиска, сбора и кражи (эксфильтрации) конфиденциальной информации с заражённой системы. В отличие от узкоспециализированных угроз (например, чистых кейлоггеров), инфостилеры действуют комплексно, нацеливаясь на широкий спектр данных: учётные записи, файлы, историю браузера, криптокошельки, системные данные и информацию о самой системе.

Возможности и целевые данные инфостилеров:

• Кража учётных данных (Credentials):
  • Пароли и cookies из браузеров: Автоматическое извлечение сохранённых логинов, паролей, сессионных cookies, данных автозаполнения из популярных браузеров (Chrome, Firefox, Edge, Brave).
  • Учётные записи из клиентов и менеджеров паролей: Перехват данных из FTP-клиентов (FileZilla), почтовых программ (Outlook), мессенджеров (Telegram, Discord), а также из самих менеджеров паролей (если мастер-пароль известен или кэширован).
  • Системные данные: Дампы хэшей паролей из реестра Windows (SAM) или памяти (LSASS) для последующего взлома (pass-the-hash) или офлайн-подбора.
• Кража финансовой информации и активов:
  • Данные банковских карт из браузеров и форм.
  • Файлы криптовалютных кошельков (dat-файлы, seed-фразы, приватные ключи) для программных кошельков (Bitcoin Core, Electrum, MetaMask).
• Кража файлов с диска: Целенаправленный поиск и копирование файлов по ключевым расширениям (.doc, .pdf, .xlsx, .txt) или расположению (рабочий стол, папка «Документы»), содержащих персональные данные, коммерческую тайну, исходный код, базы данных.
• Сбор системной и контекстной информации:
  • Данные об ОС и установленном ПО (версии, архитектура).
  • Информация об оборудовании (имя компьютера, MAC-адреса, данные GPU/CPU).
  • Список запущенных процессов и сетевых подключений.
  • Скриншоты экрана и запись с веб-камеры.
• Механизмы работы и эволюция:
  • Модульная архитектура: Современные инфостилеры (например, RedLine, Vidar, Raccoon) часто имеют модульную структуру, позволяющую загружать дополнительные плагины для кражи специфичных данных.
  • Обход защиты: Использование техник для обхода UAC (User Account Control), антивирусных продуктов, а также работа из памяти (fileless) для избежания обнаружения на диске.
  • Связь с C&C-сервером: Похищенные данные упаковываются, шифруются и отправляются на сервер управления злоумышленника (Command & Control). Часто используется Telegram-боты или облачные хранилища (Discord, Dropbox) в качестве канала эксфильтрации.
  • Продажа данных на теневых форумах: Украденные базы учётных данных (логины, пароли, cookies) часто продаются на специализированных площадках в даркнете либо используются для последующих атак (взлом аккаунтов, корпоративный шпионаж, рассылка спама).

Инфостилеры стали одним из самых распространённых и прибыльных видов вредоносного ПО. Они часто распространяются через:

• Фишинг и социнженерию: Поддельные письма, вложения (PDF, документы Office с макросами), поддельные сайты.
• Пиратский и крякнутый софт: Вредоносный код внедряется в установщики игр, взломанных программ, генераторов ключей.
• Рекламное ПО (adware) и сомнительные расширения браузеров.
• Эксплойт-киты: Использование уязвимостей в браузерах и плагинах для тихого запуска.

Защита от инфостилеров требует многоуровневого подхода:

1. Обучение пользователей: Критическое восприятие вложений, ссылок, установки ПО из непроверенных источников.
2. Системные меры: Своевременное обновление ОС и ПО, использование антивируса нового поколения (EPP/EDR) с функциями поведенческого анализа, включение контроля учётных записей (UAC).
3. Снижение ценности данных: Использование аппаратных ключей безопасности и менеджеров паролей, которые не хранят мастер-пароль в открытом виде. Регулярная очистка cookies браузера.
4. Принцип наименьших привилегий: Работа под учётной записью без прав администратора для ограничения возможностей малвара.
5. Сегментация сети и мониторинг: Ограничение исходящего трафика и использование систем сетевого анализа (NGFW, IPS) для обнаружения аномальной эксфильтрации данных.

Инфостилеры являются критической угрозой как для частных пользователей (риск кражи личных данных и средств), так и для организаций (угроза утечки корпоративной информации и компрометации учётных записей сотрудников).

Выгода от безопасности: компании меняют подход к оценке эффективности ИБ-инвестиций

Бюджет