Почему инфостилеры угрожают крупному бизнесу

Как простая и известная угроза превратилась в ключевой вектор атак на компании.

Как инфостилеры применяются для подготовки целевых кибератак

Вредоносные приложения, скрытно ворующие с компьютера пароли, финансовую и другую полезную информацию, существуют больше двадцати лет, а само слово «инфостилер» вошло в обиход в начале прошлого десятилетия. Но эти относительно простые виды вредоносного ПО стали все чаще появляться в непривычной роли — с них начинались многие крупные взломы и кибератаки последних лет. До инфостилера удалось проследить, например, кражу данных 500 млн клиентов Ticketmaster и атаку ransomware на Минздрав Бразилии. Главная сложность в борьбе с инфостилерами в том, что их невозможно победить, работая лишь с инфраструктурой и в периметре компании. Нужно учитывать нерабочую активность и личные устройства сотрудников.

Современные инфостилеры

Инфостилер — это приложение, которое злоумышленники неизбирательно устанавливают на любые доступные компьютеры для кражи любой полезной информации. Целью инфостилера в первую очередь являются пароли к учетным записям, данные криптокошельков, данные кредитных карт, а также куки из браузера. Последние позволяют украсть у пользователя текущую сессию в онлайн-сервисе. То есть если жертва вошла в браузере в рабочие аккаунты, то, скопировав куки на другой компьютер, злоумышленники в некоторых случаях могут получить к ним доступ, даже не зная учетных данных жертвы.

Кроме того, различные инфостилеры могут:

  • похищать переписки в e-mail и мессенджерах;
  • воровать документы;
  • красть изображения;
  • делать скриншоты экрана или конкретных приложений.

Встречаются экзотические варианты, которые пытаются распознавать изображения в JPG-файлах и находить на них текст (фото паролей и финансовых данных, например). Все перечисленное инфостилер отправляет на управляющий сервер, где эти данные складируются в ожидании перепродажи на черном рынке.

Среди технических «достижений» инфостилеров за последние годы: новые способы кражи данных из защищенного хранилища браузеров, модульная архитектура, позволяющая собирать новые виды данных с уже зараженных компьютеров, а также переход на сервисную модель поставки этого вредоносного ПО.

Востребованный инфостилер универсален: он должен уметь красть данные из десятков браузеров, криптокошельков, популярных приложений (Steam, Telegram, и т. п.). Стилер обязан быть устойчив к обнаружению защитными средствами; для этого злоумышленникам приходится часто модифицировать вредоносное ПО, заново его упаковывать, снабжать коллекцией средств защиты от анализа и отладки, а также повышать его скрытность.

Готовое ВПО жуликам приходится очень часто заново выкладывать на различные хостинги. Это необходимо, потому что старые источники ВПО быстро блокируются ИБ-компаниями в сотрудничестве с поисковыми системами и хостинг-провайдерами.

Инфостилеры в основном используются для атак на пользователей Windows и macOS, причем стилеры для macOS — далеко не экзотика, а активно развивающийся и востребованный у преступников сегмент «рынка». Существуют стилеры и для Android.

Очень часто инфостилеры распространяются через спам и фишинговые письма, вредоносную рекламу и методом отравления поисковой выдачи. Помимо кампаний, где инфостилер встраивают во взломанные версии ПО или читы к играм, популярны схемы, где это вредоносное ПО устанавливают под видом обновления браузера или антивируса, а также приложений для видеоконференции. Но в целом злоумышленники активно отслеживают информационную повестку и «заворачивают» вредоносное ПО в любую подходящую обертку: в этом году были популярны фальшивые генераторы ИИ-картинок, а во время глобального сбоя защитного приложения CrowdStrike даже появился инфостилер, замаскированный под инструкции по восстановлению компьютеров.

Криминальная экосистема инфостилеров

В киберпреступности устоялось четкое разделение «труда». Одни злоумышленники разрабатывают сами инфостилеры и инструменты управления ими. Другие распространяют эти изделия на устройства жертв. Третьи пользуются украденными данными. Эти три категории преступников чаще всего не входят в одну группировку, а работают независимо и состоят друг с другом в коммерческих отношениях. В частности, первые все чаще предлагают инфостилеры в виде услуги, доступной по подписке (MaaS, Malware as a Service), да еще с удобной облачной панелью доступа к настройке.

Распространители инфостилеров не пытаются воспользоваться украденными данными самостоятельно, а выставляют большие коллекции собранных данных на продажу на подпольных форумах. Затем другие злоумышленники покупают эти подборки логов и с помощью специальных инструментов находят интересные им данные. Одну и ту же подборку могут покупать и переупаковывать много раз: кто-то будет вытаскивать из этой кучи игровые аккаунты, кто-то — реквизиты банковских карт, а кто-то — учетные записи в корпоративных системах. Именно последний вариант использования логов набирает популярность с 2020 года. Злоумышленники поняли, что это дает им незаметный и эффективный способ проникнуть в организацию. Украденная учетная запись позволяет войти в корпоративную систему под видом настоящего пользователя, не применяя никаких уязвимостей и вредоносного ПО и не вызывая подозрений.
Пандемия COVID-19 заставила компании шире использовать облачные сервисы и разрешать удаленный доступ к своим системам, поэтому число потенциально уязвимых бизнесов резко выросло. А сотрудники компаний все чаще стали пользоваться удаленным доступом с личных компьютеров, где хуже соблюдаются (или вообще не соблюдаются) различные политики ИБ. Поэтому заражение домашнего компьютера инфостилером в итоге приводит к появлению нежданных гостей в сети организации.

Злоумышленники, получившие корпоративные учетные данные, проверяют их работоспособность и передают эти отфильтрованные данные тем, кто совершает уже целевые кибератаки.

Как защититься от инфостилеров

Защита каждого корпоративного компьютера и смартфона (EDR, EMM) необходима, но недостаточна. Нужно предотвратить заражение инфостилерами личных компьютеров сотрудников или смягчить последствия этого события. Решать эту проблему можно несколькими способами. Некоторые из них дополняют друг друга.

  • Запретить доступ к корпоративным системам с личных устройств. Это самый суровый, неудобный и не всегда возможный метод решения проблемы. В любом случае, он не решает проблему целиком. Например, если для рабочих задач используются публичные облачные сервисы (почта, хранение файлов, CRM), это ограничение, скорее всего, не удастся воплотить.
  • С помощью групповых политик запретить синхронизацию паролей в браузерах на корпоративном компьютере, чтобы они не перетекли на личные устройства.
  • Внедрить на периметре организации, во всех важных внутренних и публичных сервисах двухфакторную аутентификацию, устойчивую к фишингу.
  • Потребовать установить на личные ноутбуки и смартфоны корпоративную систему управления мобильными устройствами (EMM). Это позволяет контролировать защищенность личных устройств (проверять, имеют ли они свежие базы защитного решения, не отключено ли решение, защищены ли устройства паролем и шифрованием). Правильно настроенная система EMM не затрагивает личные файлы и приложения сотрудника, соблюдая на устройстве разделение рабочего и личного.
  • Развернуть в организации продвинутую систему управления Identity (учетными записями сотрудников, устройств, программных служб), которая позволит находить и оперативно блокировать аномально работающие учетные записи, например предотвращать ситуации, когда сотрудник пытается войти в ненужные по работе системы или работает из подозрительного местоположения (например из экзотической страны).
  • Приобрести услугу по мониторингу даркнета — подрядчик сообщит о появлении данных компании (включая украденные учетные записи) в новых утечках.
Советы