В мире киберпреступности информация — это средство достижения цели. И чаще всего эта цель — заработать деньги. Именно поэтому вредоносные программы, похищающие информацию (инфокрады), стали одним из основных факторов, способствующих развитию мошенничества с использованием личных данных, захвата учетных записей и кражи цифровой валюты. Но есть немало людей, которые большую часть своей повседневной жизни проводят в Интернете и при этом умудряются оставаться в безопасности. Главное — понять, как эффективно управлять цифровыми рисками.

Вот что вам нужно знать, чтобы уберечь свою личную и финансовую информацию от опасности.

Что крадут инфокрады?

Многие инфокрады ведут свою родословную от «культовой» вредоносной программы — банковского трояна ZeuS, который был разработан для скрытой кражи финансовой информации жертв, например, логинов в системах онлайн-банкинга. Когда в 2011 году произошла утечка исходного кода, новые версии наводнили киберпреступное подполье, и развивающаяся индустрия инфокрадов заработала всерьез, а разработчики стали модернизировать и настраивать ее возможности. Сегодня существуют версии, созданные практически для всех компьютерных платформ — от ПК с Windows и macOS до устройств на базе iOS и Android.

То, за чем охотятся инфокрады, зависит от варианта. Популярной мишенью являются логины и сессионные файлы cookie, которые могут позволить хакерам обойти многофакторную аутентификацию (MFA). Согласно одному отчету, 75% (2,1 млрд) из 3,2 млрд учетных данных, украденных в прошлом году, были получены с помощью инфокрадов. К другим видам личной и финансовой информации, которые могут подвергнуться риску, относятся:

  • Данные платежной карты, банковского счета и криптовалюты (например, ключи криптокошелька)
  • Другая финансовая информация, включая данные о страховании или государственном социальном обеспечении
  • Данные браузера, включая историю посещений и любые данные «сохраненных форм», которые могут включать платежные реквизиты и пароли
  • Системная информация о вашем компьютере или устройстве
  • Файлы, хранящиеся на вашем компьютере/устройстве, включая фотографии и документы
  • Другая личная информация, включая имена, номера телефонов и адреса

Как работают инфокрады?

Цель вредоносной программы — скрытно и быстро найти конфиденциальную информацию на вашем компьютере или устройстве, а затем переправить ее на сервер, находящийся под контролем злоумышленников. Для этого она атакует веб-браузеры, почтовые клиенты, криптовалютные кошельки, файлы, приложения и саму операционную систему. Другие методы:

  • «Захват формы», который включает в себя поиск логинов, которые вы могли ввести в онлайн-форму, прежде чем та будет отправлена на защищенный сервер
  • Кейлоггинг, при котором вредоносная программа записывает каждое нажатие клавиш
  • Создание снимков вашего главного экрана/рабочего стола, когда там отображается какая-либо конфиденциальная информация
  • Кража информации из буфера обмена машины

После того как информация возвращается на сервер злоумышленников, часто в течение нескольких секунд, те обычно упаковывают ее в журналы и продают в киберпреступном подполье. Мошенники затем будут использовать ее, чтобы:

  • Взламывать ваши учетные записи (например, Netflix, Uber) с целью кражи хранящейся в них информации и/или продажи доступа другим лицам
  • Совершать мошеннические действия с личными данными, например, оформлять кредиты на ваше имя или использовать ваши карты/банковский счет для покупки товаров
  • Совершать мошенничество в сфере медицины/страхования, получая медицинское лечение/лекарства от вашего имени
  • Совершать налоговые махинации, подавая налоговые декларации от вашего имени и получая возмещения
  • Рассылать вашим контактам фишинговые сообщения или спам
  • Выводить средства с ваших финансовых счетов
Figure 1. Splash screen shown by the Vidar infostealer installer
Рисунок 1. Заставка, показываемая программой установки инфокрада Vidar и выдающая себя за Midjourney (источник: Отчет ESET об угрозах за 1-е полугодие 2024 г.)

Каким образом инфокрады могут взломать мою учетную запись?

Первый шаг к тому, чтобы обезопасить свою учетную запись от инфокрадов, — понять, как те действуют. Существуют различные векторы атак, вот наиболее распространенные:

  • Фишинговые электронные письма/текстовые сообщения: Классический прием социальной инженерии, убеждающий вас перейти по вредоносным ссылкам или открыть вложение, что приводит к скрытой установке вредоносной программы. Злоумышленник обычно выдает себя за доверенное лицо, бренд или авторитет, используя подмену домена отправителя и официальные логотипы.
  • Вредоносные веб-сайты: Они могут использоваться как часть фишинговой кампании или как отдельный «актив». Вам может быть предложено загрузить/нажать на ссылку, или же сайт может спровоцировать «скрытую загрузку» просто при его посещении. Злоумышленники могут использовать пиратские методы SEO, чтобы искусственно поднять эти сайты на верхние строчки поисковых рейтингов, чтобы те чаще появлялись, когда вы ищете что-либо в Интернете.
  • Взломанные веб-сайты: Иногда хакеры взламывают легитимные сайты, которые вы посещаете, используя уязвимость браузера или вставляя вредоносную рекламу (malvertising). Оба способа могут спровоцировать установку инфокрада.
  • Вредоносные приложения: Легитимно выглядящее программное обеспечение может скрывать неприятный сюрприз, похищающий информацию при загрузке. Особенно остро этот риск ощущается на мобильных устройствах, которые зачастую не так хорошо защищены, как компьютеры. Особенно внимательно следите за пиратскими версиями популярных игр и других программ.
  • Социальное мошенничество: Мошенники могут попытаться обманом заставить вас кликнуть на заманчивую рекламу или сообщение в социальных сетях, возможно, выдавая себя за знаменитость или даже взломав легитимную учетную запись. Остерегайтесь предложений, розыгрышей призов и эксклюзивного контента, которые кажутся слишком хорошими, чтобы быть правдой.
  • Игровые моды/читы: Неофициальные модификации, или читы, для видеоигр могут содержать вредоносные программы инфокрадов. Действительно, исследователи ESET обнаружили несколько репозиториев GitHub, заявляющих, что они предлагают ботофермы и автокликеры, предназначенные для ускорения игрового процесса в Hamster Kombat. На самом деле они скрывали вариант Lumma Stealer.
Figure 2. GitHub repository spreading Lumma Stealer and spotted by ESET researchers
Рисунок 2. Репозиторий GitHub, распространяющий Lumma Stealer и обнаруженный исследователями ESET

Peering into the threat landscape

As ESET reveals in its H2 2024 Threat Report the infostealer market is big business for cybercriminals. The malware-as-a-service (MaaS) model has democratized access to many of the infostealer variants available on criminal marketplaces. Some of these sites also offer log parsing services to help cybercriminals extract data from raw logs for use or resale.

As ESET observes, these pieces of malware are under constant development. Formbook, for example, has been in operation since 2021. But most recently, it has added sophisticated obfuscation techniques, designed to make sampling and analysis by security researchers more difficult. Other variants, like RedLine, have disappeared due to coordinated law enforcement action. But others, such as Lumma Stealer, simply move in to take their place. This variant  recorded a 369% annual increase in detections in H2 2024, according to ESET research.

Взгляд на ландшафт угроз

Как сообщает ESET в своем Отчете об угрозах за 2-й квартал 2024 г.,рынок инфокрадов — это большой бизнес для киберпреступников. Модель «вредоносная программа-как-услуга» (MaaS) демократизировала доступ ко многим вариантам инфокрадов, доступных на криминальных рынках. Некоторые из этих сайтов также предлагают услуги по разбору журналов, чтобы помочь злоумышленникам извлекать данные из исходных журналов для использования или перепродажи.

Как отмечают в ESET, эти вредоносные программы находятся в стадии постоянной разработки. Например, вариант Formbook работает с 2021 года. Но совсем недавно он добавил сложные методы обфускации, призванные затруднить выборку и анализ исследователями безопасности. Другие варианты, например RedLine, исчезли благодаря скоординированным действиям правоохранительных органов. Но другие, такие как Lumma Stealer, просто приходят на их место. По данным исследования ESET, во 2-м квартале 2024 г. этот вариант увеличил количество обнаружений на 369% за год.

Как уберечься от инфокрадов?

Как же сделать так, чтобы инфокрад не попал на ваше мобильное устройство или компьютер? Учитывая, что вредоносная программа может распространяться различными способами, вам необходимо помнить о нескольких лучших практиках. К ним относятся:

  • Установите и постоянно обновляйте программное обеспечение безопасности на всех своих устройствах. Это в значительной степени обезопасит вас от инфокрадов и других угроз.
  • Будьте внимательны к фишингу, то есть не переходите по ссылкам в нежелательных сообщениях и не открывайте вложения. Всегда уточняйте у отправителя, точно ли он отправил вам сообщение. Иногда, наведя курсор на домен «отправителя», можно обнаружить, что письмо на самом деле было отправлено кем-то другим.
  • Загружайте программы/приложения только из официальных интернет-магазинов. Хотя вредоносные программы иногда проникают и в Google Play, они обычно быстро удаляются, и эти официальные каналы гораздо безопаснее, чем магазины сторонних разработчиков. Кроме того, избегайте загрузки пиратского или взломанного программного обеспечения, особенно если те предлагаются бесплатно.
  • Поддерживайте ОС и приложения в актуальном состоянии, потому что последняя версия программного обеспечения также будет и самой безопасной.
  • Будьте осторожны в социальных сетях и помните, что если предложение кажется слишком хорошим, чтобы быть правдой, то обычно так оно и есть. Если у вас возникли подозрения, попробуйте погуглить, чтобы узнать, не является ли это мошеннической схемой. И помните, что учетные записи друзей и знаменитостей также могут быть взломаны для продвижения мошеннических схем. Не переходите по нежелательным ссылкам.
  • Повысьте безопасность при входе в систему, используя надежные уникальные пароли для каждой учетной записи, хранящиеся в менеджере паролей. И включите многофакторную аутентификацию (MFA) для всех своих учетных записей. Это обеспечит некоторую защиту от определенных методов инфокрадов, таких как кейлоггинг, хотя и не гарантирует стопроцентной защиты.

Хитрость заключается в том, чтобы усовершенствовать эти меры, сократив тем самым возможности для атак, открытые для злоумышленников. Но помните: они будут продолжать пытаться разрабатывать новые обходные пути, поэтому ключевым фактором является бдительность.