Вредоносные приложения, скрытно ворующие с компьютера пароли, финансовую и другую полезную информацию, существуют больше двадцати лет, а само слово «инфостилер» вошло в обиход в начале прошлого десятилетия. Но эти относительно простые виды вредоносного ПО стали все чаще появляться в непривычной роли — с них начинались многие крупные взломы и кибератаки последних лет. До инфостилера удалось проследить, например, кражу данных 500 млн клиентов Ticketmaster и атаку ransomware на Минздрав Бразилии. Главная сложность в борьбе с инфостилерами в том, что их невозможно победить, работая лишь с инфраструктурой и в периметре компании. Нужно учитывать нерабочую активность и личные устройства сотрудников.
Оглавление
Современные инфостилеры
Инфостилер — это приложение, которое злоумышленники неизбирательно устанавливают на любые доступные компьютеры для кражи любой полезной информации. Целью инфостилера в первую очередь являются пароли к учетным записям, данные криптокошельков, данные кредитных карт, а также куки из браузера. Последние позволяют украсть у пользователя текущую сессию в онлайн-сервисе. То есть если жертва вошла в браузере в рабочие аккаунты, то, скопировав куки на другой компьютер, злоумышленники в некоторых случаях могут получить к ним доступ, даже не зная учетных данных жертвы.
Кроме того, различные инфостилеры могут:
похищать переписки в e-mail и мессенджерах;
воровать документы;
красть изображения;
делать скриншоты экрана или конкретных приложений.
Встречаются экзотические варианты, которые пытаются распознавать изображения в JPG-файлах и находить на них текст (фото паролей и финансовых данных, например). Все перечисленное инфостилер отправляет на управляющий сервер, где эти данные складируются в ожидании перепродажи на черном рынке.
Среди технических «достижений» инфостилеров за последние годы: новые способы кражи данных из защищенного хранилища браузеров, модульная архитектура, позволяющая собирать новые виды данных с уже зараженных компьютеров, а также переход на сервисную модель поставки этого вредоносного ПО.
Востребованный инфостилер универсален: он должен уметь красть данные из десятков браузеров, криптокошельков, популярных приложений (Steam, Telegram, и т. п.). Стилер обязан быть устойчив к обнаружению защитными средствами; для этого злоумышленникам приходится часто модифицировать вредоносное ПО, заново его упаковывать, снабжать коллекцией средств защиты от анализа и отладки, а также повышать его скрытность.
Готовое ВПО жуликам приходится очень часто заново выкладывать на различные хостинги. Это необходимо, потому что старые источники ВПО быстро блокируются ИБ-компаниями в сотрудничестве с поисковыми системами и хостинг-провайдерами.
Инфостилеры в основном используются для атак на пользователей Windows и macOS, причем стилеры для macOS — далеко не экзотика, а активно развивающийся и востребованный у преступников сегмент «рынка». Существуют стилеры и для Android.
Очень часто инфостилеры распространяются через спам и фишинговые письма, вредоносную рекламу и методом отравления поисковой выдачи. Помимо кампаний, где инфостилер встраивают во взломанные версии ПО или читы к играм, популярны схемы, где это вредоносное ПО устанавливают под видом обновления браузера или антивируса, а также приложений для видеоконференции. Но в целом злоумышленники активно отслеживают информационную повестку и «заворачивают» вредоносное ПО в любую подходящую обертку: в этом году были популярны фальшивые генераторы ИИ-картинок, а во время глобального сбоя защитного приложения CrowdStrike даже появился инфостилер, замаскированный под инструкции по восстановлению компьютеров.
Криминальная экосистема инфостилеров
В киберпреступности устоялось четкое разделение «труда». Одни злоумышленники разрабатывают сами инфостилеры и инструменты управления ими. Другие распространяют эти изделия на устройства жертв. Третьи пользуются украденными данными. Эти три категории преступников чаще всего не входят в одну группировку, а работают независимо и состоят друг с другом в коммерческих отношениях. В частности, первые все чаще предлагают инфостилеры в виде услуги, доступной по подписке (MaaS, Malware as a Service), да еще с удобной облачной панелью доступа к настройке.
Распространители инфостилеров не пытаются воспользоваться украденными данными самостоятельно, а выставляют большие коллекции собранных данных на продажу на подпольных форумах. Затем другие злоумышленники покупают эти подборки логов и с помощью специальных инструментов находят интересные им данные. Одну и ту же подборку могут покупать и переупаковывать много раз: кто-то будет вытаскивать из этой кучи игровые аккаунты, кто-то — реквизиты банковских карт, а кто-то — учетные записи в корпоративных системах. Именно последний вариант использования логов набирает популярность с 2020 года. Злоумышленники поняли, что это дает им незаметный и эффективный способ проникнуть в организацию. Украденная учетная запись позволяет войти в корпоративную систему под видом настоящего пользователя, не применяя никаких уязвимостей и вредоносного ПО и не вызывая подозрений.
Пандемия COVID-19 заставила компании шире использовать облачные сервисы и разрешать удаленный доступ к своим системам, поэтому число потенциально уязвимых бизнесов резко выросло. А сотрудники компаний все чаще стали пользоваться удаленным доступом с личных компьютеров, где хуже соблюдаются (или вообще не соблюдаются) различные политики ИБ. Поэтому заражение домашнего компьютера инфостилером в итоге приводит к появлению нежданных гостей в сети организации.
Злоумышленники, получившие корпоративные учетные данные, проверяют их работоспособность и передают эти отфильтрованные данные тем, кто совершает уже целевые кибератаки.
Как защититься от инфостилеров
Защита каждого корпоративного компьютера и смартфона (EDR, EMM) необходима, но недостаточна. Нужно предотвратить заражение инфостилерами личных компьютеров сотрудников или смягчить последствия этого события. Решать эту проблему можно несколькими способами. Некоторые из них дополняют друг друга.
Запретить доступ к корпоративным системам с личных устройств. Это самый суровый, неудобный и не всегда возможный метод решения проблемы. В любом случае, он не решает проблему целиком. Например, если для рабочих задач используются публичные облачные сервисы (почта, хранение файлов, CRM), это ограничение, скорее всего, не удастся воплотить.
С помощью групповых политик запретить синхронизацию паролей в браузерах на корпоративном компьютере, чтобы они не перетекли на личные устройства.
Внедрить на периметре организации, во всех важных внутренних и публичных сервисах двухфакторную аутентификацию, устойчивую к фишингу.
Потребовать установить на личные ноутбуки и смартфоны корпоративную систему управления мобильными устройствами (EMM). Это позволяет контролировать защищенность личных устройств (проверять, имеют ли они свежие базы защитного решения, не отключено ли решение, защищены ли устройства паролем и шифрованием). Правильно настроенная система EMM не затрагивает личные файлы и приложения сотрудника, соблюдая на устройстве разделение рабочего и личного.
Развернуть в организации продвинутую систему управления Identity (учетными записями сотрудников, устройств, программных служб), которая позволит находить и оперативно блокировать аномально работающие учетные записи, например предотвращать ситуации, когда сотрудник пытается войти в ненужные по работе системы или работает из подозрительного местоположения (например из экзотической страны).
Приобрести услугу по мониторингу даркнета — подрядчик сообщит о появлении данных компании (включая украденные учетные записи) в новых утечках.
Блог Касперского