Infostealery: nový trend kyberkriminality
Infostealery představují rostoucí kybernetickou hrozbu, zaměřenou na krádež osobních údajů, hesel a jiných citlivých informací. Tento článek poskytuje odpovědi na nejčastější dotazy, vysvětluje princip fungování infostealerů a předkládá klíčová doporučení pro ochranu.
Představte si, že brouzdáte internetem a narazíte na prémiový program ke stažení zdarma. Nadšeně si ho stáhnete, spustíte a těšíte se, jak jste chytře ušetřili. Jenže ten „bezplatný“ program byl ve skutečnosti infostealer, nenápadně podstrčený útočníkem – a zatímco si myslíte, že jste něco získali, on už tiše prohledává váš počítač a krade vaše data.
Infostealery jsou typem špionážního malwaru (spyware). Jsou navrženy tak, aby zůstaly co nejvíce skryté a nepozorovaně sbíraly a odesílaly citlivé informace útočníkům. Tyto hrozby se často šíří přes důvěryhodně působící:
- infikované odkazy a přílohy e-mailů;
- falešné stránky na stažení softwaru;
- podvodné webové stránky.
Infostealery existují pro všechny druhy operačních systémů na mobilních zařízeních (Android, iOS) i počítačích (Windows, Linux, macOS). Jejich hrozba je tedy pro uživatele víc než reálná.
Jaké informace infostealer sbírá?
Infostealery operují skrytě a jejich detekce je složitá. Pokud bychom řekli, že dokážou ukrást téměř vše, nebyli bychom daleko od pravdy. Mezi nejčastěji získávané údaje patří:
- Přihlašovací údaje: jména, hesla, cookies a uložené přihlašovací tokeny z webových prohlížečů.
- Platební údaje: čísla platebních karet, CVV/CVC kódy, přihlašovací údaje do bankovnictví.
- Osobní data: e-maily, telefonní čísla, adresy či textové soubory, dokumenty, e-maily.
- Systémové informace: verze operačního systému, seznam nainstalovaných aplikací a síťová konfigurace.
- Data z aplikací: zprávy z komunikačních platforem, přístupové klíče k firemním účtům či šifrovací klíče.
Jak infostealer pracuje?
Primárním cílem infostealerů je krádež údajů. Kromě toho však mohou dělat i řadu jiných akcí. Infostealer tak například může útočníkovi umožnit:
- zaznamenávat stisknuté klávesy (keylogging), díky kterému mohou zjistit nejen hesla, ale i obsah zpráv, které oběť píše;
- zneužívat výkon vašeho zařízení pro těžbu kryptoměn nebo šíření útoků (botnet);
- zobrazovat nevyžádané reklamy a přesměrovat uživatele na škodlivé stránky (adware);
- vzdáleně ovládat váš počítač a získat trvalý přístup k systému (backdoor, například RAT – Remote Access Trojan);
- pořizovat snímky obrazovky pro zachycení citlivých informací z aplikací nebo webových stránek.
Nejrozšířenější infostealer všech dob?
Lumma Stealer patří mezi nejaktivnější infostealery svého druhu. K šíření využívá různé metody, včetně falešných CAPTCHA stránek například v rámci kampaně ClickFix. Ty přimějí uživatele spustit příkaz, který do zařízení stáhne škodlivý kód. Malware se maskuje jako běžný software a dokáže obejít antivirovou ochranu. Jakmile infikuje systém, prohledává soubory a odesílá citlivá data útočníkům.
Obrázek níže ilustruje jeden z postupů využívaných Lumma Stealerem – falešnou CAPTCHA stránku, která oběti automaticky zkopíruje škodlivý PowerShell kód do schránky. Následně je uživatel instruován, aby otevřel okno Run (Win + R), vložil kód (CTRL + V) a spustil jej stisknutím Enter, čímž nevědomky aktivuje útok. Tento přístup umožňuje obejít tradiční bezpečnostní mechanismy a zajistit exfiltraci citlivých dat přímo z infikovaného zařízení.
Infostealer, zápis do historie?
Nedávné incidenty publikované HudsonRock ukazují vážné dopady infekcí infostealery:
- Počet infekcí infostealery: Dosáhl 27,5 milionu případů, což je trojnásobek oproti největším botnetům, jako byl Necurs s 9 miliony infekcí.
- Útok na zdravotnický sektor: Jediný kompromitovaný Citrix účet vedl k výkupnému ve výši 22 milionů dolarů.
Jaké jsou příznaky infostealeru v zařízení?
Infostealery pracují nenápadně, a jejich rozpoznání není přímočaré. Existují však určité signály, které mohou naznačovat infekci:
- Neobvyklá přihlášení: služby jako Google, Microsoft nebo univerzitní systémy mohou upozornit na pokusy o přihlášení z neznámé lokality.
- Změny v nastavení účtu: došla vám notifikace o změně hesla.
- Podezřelé aktivity v systému: pozorujete vyšší vytížení systému (větší využití paměti), vyskakují na vás okna, která se krátce zobrazí a zase rychle mizí, objevili jste zprávy, které jste nenapsali.
Máte podezření na infostealer a chcete jej odstranit? Postupujte podle našeho návodu.
Jak se chránit?
V prvé řadě buďte obezřetní, nepřihlašujte se na podezřelé stránky, neklikejte bez rozmyslu na odkazy a vždy si ověřujte pravost výzev k zadání přihlašovacích údajů. Dále pak používejte osvědčené bezpečnostní nástroje a opatření, abyste minimalizovali riziko krádeže přihlašovacích údajů:
Správce hesel
Ukládá a šifruje přihlašovací údaje, generuje unikátní hesla a chrání je hlavním heslem (master password). Hlavní výhodou je, že kvalitní správce hesel šifruje uložené údaje end-to-end, takže k nim nemá přístup ani poskytovatel služby.
Dlouhodobá ochrana
Udržujte systém zabezpečený pravidelnými aktualizacemi, používejte spolehlivý antivirus (například Windows Defender integrovaný ve Windows nebo ESET pro širší ochranu) a sledujte podezřelé aktivity, jako jsou neobvyklá přihlášení či neautorizované změny v účtech.
Vícefaktorové ověření
Zabraňuje neoprávněnému přístupu i v případě úniku hesla. Pokud se útočník dostane k vašemu heslu, bez druhého faktoru (například kódu z autentizační aplikace, SMS nebo hardwarového klíče) se útočník nepřihlásí a jeho pokus o průnik bude neúspěšný.
Pozor na únik hlavního hesla! Pokud útočník zjistí vaše hlavní heslo ke správci hesel, získá přístup ke všem v něm uloženým heslům. Nejprve se ujistěte, že vaše zařízení není infikováno malwarem, jako je infostealer – proveďte kontrolu a vyčištění systému. Teprve poté změňte hesla klíčových služeb (e-mail, bankovnictví, sociální sítě) a nastavte nové, silné hlavní heslo. Aktivujte také MFA pro správce, aby útočník nemohl účet převzít.
Slovo závěrem
Infostealery představují tichou, ale velmi nebezpečnou hrozbu, která může vést k vážným bezpečnostním incidentům. Prevence je klíčová: používejte správce hesel, vyhýbejte se podezřelým souborům a odkazy otevírejte s maximální obezřetností. Pamatujte, že žádný operační systém není zcela imunní vůči infekci, a proto je důležité pravidelně aktualizovat software a dbát na bezpečnostní opatření. To, že jsou infostealery aktuální hrozbou, potvrzuje i varování Kyberbezpečnostního týmu MU, které si můžete přečíst zde.
Zdroje
- https://www.infostealers.com/article/botnets-are-dead-long-live-infostealers-a-comparison/
- https://www.infostealers.com/article/what-are-info-stealers/
- https://objective-see.org/blog/blog_0x7D.html
- https://www.eset.com/cz/spyware/
- https://www.eset.com/cz/infostealer/
- https://malpedia.caad.fkie.fraunhofer.de/details/win.lumma