Infostealer to specjalny rodzaj złośliwego oprogramowania stworzony do wykradania poufnych informacji z zainfekowanych systemów.
Informacjami tymi mogą być zarówno dane osobowe pracowników i klientów, jak również dokumenty zawierające tajemnice handlowe, czy plany rozwoju.
Wprowadzenie do świata infostealerów
Infostealery jako rodzaj złośliwego oprogramowania z roku na rok stają się coraz chętniej wykorzystywane przez hakerów, pozwalając im na stałe zwiększanie zarobków z kradzieży poufnych i wrażliwych danych.
Ten rodzaj złośliwego oprogramowania działa w środkowych fazach ataku. Opierając się na Cyber Kill Chain (szczegółowo opisanym tym artykule), można wskazać, że tymi fazami są, m.in.: dostarczenie (delivery), wykorzystanie (exploitation), instalacja (installation) oraz dowodzenie i kontrola (Command and Control) – często występująca w postaci komunikacji zainfekowanego systemu z zarządzanym przez atakującego serwerem C2, czyli Dowodzenia i Kontroli.
Infostealery zostały specjalnie zaprojektowane, aby wyszukiwać, wydobywać i wykradać poufne informacje z zainfekowanego systemu. Przy czym ten rodzaj złośliwego oprogramowania nie ogranicza się jedynie do systemów komputerowych, ale także może być wykorzystywany na urządzeniach mobilnych.
Pozyskane w ten sposób dane są dla atakujących bardzo cenne, ponieważ mogą być sprzedane na czarnym rynku przez brokerów (na forach hakerskich są sprzedawane hurtowo nawet po 10 USD), mogą być użyte do kradzieży tożsamości, szantażu ofiary w celu wymuszenia okupu – przy czym szantażem może być tutaj grożenie opublikowaniem wykradzionych danych w przypadku braku zapłaty określonej sumy (zazwyczaj we wskazanej kryptowalucie) w ściśle określonym czasie.
Jeżeli wśród skradzionych danych znajdują się dane uwierzytelniające, np. hasła, klucze prywatne, czy loginy, nazwy użytkowników, to mogą one posłużyć do pogłębienia ataku i dalszej infiltracji środowiska ofiary.
Dystrybucja infostealerów
Infostealery są dystrybułowane przez cyberprzestępców głównie za pośrednictwem phishingowych wiadomości e-mail, zainfekowanych załączników lub też poprzez zainfekowane strony internetowe.
Ich cechą charakterystyczną jest działanie w tle, wobec czego nie wzbudzają zainteresowania ofiary poprzez nietypowe działanie zainfekowanego systemu, jak też są trudne do wykrycia, do tego stosują też różne techniki utrudniające ich odkrycie. Ponadto są zdolne do przetrwania w systemie po jego ponownym uruchomieniu, odnajdywania innych celów w sieci ofiary, jak też umożliwiają cyberprzestępcom zdalne zarządzanie zainfekowanym systemem. Te najbardziej zaawansowane zbudowane są z modułów, które rozszerzają ich funkcjonalność, np. o możliwość importu poszczególnych ładunków (zazwyczaj złośliwego kodu) po przeskanowaniu zainfekowanego systemu lub środowiska w poszukiwaniu cennych i poufnych informacji.
Warto dodać, że infostealery są zazwyczaj dystrybuowane w ramach modelu malware-as-a-service (MaaS), w którym cyberprzestępcy o wysokich zdolnościach programistycznych, za opłatą abonamentową, udostępniają innym osobom stworzone przez siebie infostealery. Dzięki temu osoby o różnym poziomie wiedzy technicznej mogą wykorzystywać infostealery do nielegalnych działań.
W tym miejscu warto jeszcze nadmienić, że w artykule z 2023 r. badacze z Georgia Institute of Technology zauważyli, że rynek hostowanych infostealerów jest niezwykle dojrzały i wysoce konkurencyjny, a niektórzy operatorzy oferują skonfigurowanie infostealerów za jedyne 12 USD.
Sposób działania infostealerów
Co do zasady infostealery składają się z dwóch części, czyli struktury bota, która pozwala atakującemu skonfigurować zachowanie infostealera na komputerze ofiary, oraz panelu zarządzania, który przyjmuje formę serwera, do którego infostealer wysyła dane.
Panel (interfejs) zarządzania jest zazwyczaj napisany w tradycyjnych językach programowania stron internetowych, takich jak PHP, HTML czy JavaScript. Zwykle jest on hostowany w komercyjnej infrastrukturze chmury. Interfejs zarządzania działa głównie jako serwer WWW, do którego infostealer wysyła poufne informacje. Interfejs ten dostarcza atakującemu również informacji o stanie wdrożonych elementów kradnących informacje i umożliwia mu kontrolowanie zachowania elementów infostealera odpowiedzialnych za kradzież informacji
W zależności od szczepu oraz stopnia skomplikowania, infostealery wykorzystują różne techniki w celu wyszukania i wyodrębnienia poszczególnych typów danych z zainfekowanego systemu, poczynając od prostych skryptów a kończąc na wyrafinowanym oprogramowaniu modułowym pozwalającym na szczegółową infiltrację zainfekowanego systemu lub nawet sieci ofiary. Na marginesie warto dodać, że dane mogą także zostać wykradzione również poprzez natywne narzędzia wbudowane w system operacyjny – jest to tzw. atak LOTL, czyli Living Of The Land.
Warto zaznaczyć, że do zwiększenia swojej skuteczności infostealery mogą wykorzystywać także podatności oraz luki w oprogramowaniu.
Do najpopularniejszych form działania infostealerów można zaliczyć:
- browser session hijacking, czyli przejęcie sesji przeglądarki – polega na kradzieży ciasteczek (plików cookie) oraz tokenów sesji z pamięci podręcznej przeglądarki, co umożliwia atakującemu na nieautoryzowany dostęp do kont online ofiary bez konieczności podawania nazwy użytkownika i hasła, co jest równoznaczne z przejęciem aktywnej sesji lub aktywnych sesji ofiary,
- clipboard hijacking, czyli monitorowanie i przechwytywanie zawartości schowka na zainfekowanym urządzeniu, która może być modyfikowana przez atakującego; do przechwycenia danych dochodzi w momencie gdy ofiara kopiuje dane, np. numer konta, hasło, czy nazwę użytkownika; ponadto tą techniką można także podmieniać dane, jak też przechwytywać poświadczenia automatycznie uzupełniane przez menadżera haseł,
- credential dumping, czyli wyodrębnianie danych uwierzytelniających z kont użytkowników, które to dane są przechowywane w zainfekowanym systemie – przykładem mogą być dane logowania zapisane w przeglądarkach internetowych lub innym oprogramowaniu klienckim; warto w tym miejscu wskazać, że jeżeli takie dane są przechowywane jako zaszyfrowane, po ich wykradzeniu, cyberprzestępcy będą próbowali je złamać (rozszyfrować) w trybie offline przy użyciu specjalistycznych narzędzi sprzętowych i programowych,
- Crypto-Wallet Harvesting, czyli przeszukiwanie znanych ścieżek instalacji w poszukiwaniu oprogramowania typowego dla krypto-portfeli oraz wykradzenia kluczy prywatnych, które mogą posłużyć do przeniesienia kryptowaluty z portfela ofiary na konta kontrolowane przez atakującego,
- email harvesting, czyli przeszukiwanie plików i wiadomości email przechowywanych na zainfekowanym urządzeniu w celu zbierania adresów email oraz innych informacji kontaktowych, które później mogą posłużyć do spamowania lub dalszych ataków phishingowych,
- form grabbing, czyli przechwytywanie danych wpisywanych w formularzach na stronach internetowych, jeszcze przed ich zaszyfrowaniem przez przeglądarkę ofiary; technika ta jest szczególnie skuteczna w kradzieży danych logowania, informacji o płatnościach oraz innych danych osobistych, które użytkownicy wpisują w formularzach,
- keylogging, czyli rejestrowanie naciśnięć klawiszy przez użytkownika na klawiaturze podłączonej do zainfekowanego urządzenia; przechwytywanie sekwencji naciśnięć klawiszy na komputerze pozwala atakującym na poznanie, m.in. haseł, danych kart płatniczych oraz innych poufnych informacji użytkownika oraz o użytkowniku,
- Man-in-the-Browser, czyli atak typu “człowiek w przeglądarce internetowej” – atak ten należy do grupy bardziej wyrafinowanych, ponieważ złośliwe oprogramowanie (malware) wstrzykuje złośliwy kod bezpośrednio do przeglądarki internetowej, co umożliwia atakującemu przechwytywanie informacji i manipulowanie nimi w czasie rzeczywistym, nawet gdy te dane są wprowadzane na bezpiecznych stronach internetowych,
- screen capturing, czyli przechwytywanie ekranu – polega na wykonywaniu zrzutów ekranu zainfekowanego urządzenia w krytycznych momentach, jak np. przeglądanie danych osobowych lub wpisywanie danych uwierzytelniających; infostealery stosujące tą metodę potrafią ominąć ograniczenia ekstrakcji danych tekstowych i przechwycić takie dane, które mogą być wyświetlane na ekranie w dowolnej formie.
Najpowszechniejsze szczepy złośliwego oprogramowania
Z uwagi na to, że złośliwe oprogramowanie ciągle ewoluuje oraz pojawiają się jego nowe warianty, oszacowanie dokładnej liczby szczepów infostealerów jest niezwykle trudne, ale badacze i eksperci ds. cyberbezpieczeństwa przyznają, że istnieje od kilkuset do kilku tysięcy szczepów złośliwego oprogramowania typu infostealer, od dobrze udokumentowanych i powszechnie rozpoznawanych szczepów poczynając, na mniej zbadanych (znanych), wysoko wyspecjalizowanych szczepach ukierunkowanych na określone regiony geograficzne lub sektory kończąc.
Niemniej jednak, na potrzeby tego artykułu, którego celem jest przybliżenie istoty infosetalerów, można przedstawić następujące szczepy:
- Agent Tesla – znany i wyrafinowany szczep infostealerów będący programem szpiegującym działającym głównie jako keylogger oraz RAT (trojan zdalnego dostępu); został odkryty w 2014 roku, a do jego cech charakterystycznych można zaliczyć: monitorowanie oraz zbieranie danych wprowadzanych z klawiatury ofiary, wykradanie i podmienianie danych ze schowka zainfekowanego systemu, robienie zrzutów ekranu, eksfiltrowanie danych uwierzytelniających z różnych programów zainstalowanych na zaifekowanym urządzeniu; jego dystrybucja najczęściej odbywa się za pośrednictwem złośliwych załączników w wiadomościach email, które są zamaskowane jako legalne pliki lub łącza (linki) uruchamiające złośliwe oprogramowanie po ich otwarciu,
- AZORult – infostealer odkryty w 2020 roku przez badaczy z Uniwersytetu Technicznego w Eindhoven na podstawie analizy informacji dostępnych na sprzedaż na czarnym rynku poświadczeń impas[.]ru, pozwoliło to na odtworzenie działania tego infostealera, którego cechami charakterystycznymi są wtyczki do przeglądarek internetowych kradnące historię przeglądania użytkownika, dostosowywalny mechanizm oparty na wyrażeniach regularnych pozwalający atakującemu na pobieranie dowolnych plików z komputera użytkownika, moduł ekstrakcji haseł przeglądarki, moduł ekstrakcji historii Skype’a oraz moduł wyszukiwania i eksfiltracji plików portfela kryptowalut; do danych wykradzionych za pomocą tego infostealera oraz oferowanych na sprzedaż na czarnym rynku najczęściej należą odciski palców, pliki cookie oraz zasoby. Odciski palców składają się z identyfikatorów, które zostały skonstruowane poprzez sondowanie różnych funkcji udostępnianych przez przeglądarkę. Nie są one powiązane z konkretną usługą, ale są uważane za dokładnie unikalny identyfikator przeglądarek użytkownika. Pliki cookie umożliwiały kupującym przejęcie sesji przeglądarki ofiary poprzez wstrzyknięcie jej do środowiska przeglądarki. Natomiast zasoby odnoszą się do plików związanych z przeglądarką, które zostały znalezione w systemie operacyjnym użytkownika, takich jak pliki przechowywania haseł,
- LokiBot – znany z atakowania wielu platform w celu kradzieży różnych danych uwierzytelniających, takich jak hasła, portfele kryptowalut i inne dane służące do poświadczeń; został odkryty w 2015 roku; jego cechami charakterystycznymi są modułowe funkcje pobierania i wykonywania dodatkowych złośliwych ładunków (payloadów), co zapewnia atakującemu zdalny dostęp do zainfekowanego systemu i urządzenia; ten infostealer jest najczęściej dystrybuowany za pośrednictwem phishingowych wiadomości e-mail, instalatorów złośliwego oprogramowania i zainfekowanych witryn,
- Raccoon Stealer – to złośliwe oprogramowanie kradnące informacje; zostało odkryte w 2019 roku i jest znane z łatwości obsługi przez atakujących o niskich umiejętnościach (skript kiddies) oraz zdolności do wydobywania szerokiego zakresu danych osobowych; ten infostealer kradnie dane uwierzytelniające, pliki cookie sesji internetowych i dane kart kredytowych z pamięci podręcznej przeglądarki oraz przeszukuje portfele kryptowalut w celu wydobycia kluczy prywatnych oraz rozprzestrzenia się za pośrednictwem złośliwych kampanii e-mailowych i zestawów exploitów, wykorzystując swoją prostotę i skuteczność w celu przyciągnięcia szerokiej gamy cyberprzestępców, w tym o ograniczonej (niewielkiej) wiedzy technicznej,
- Redline Stealer – infostealer odkryty w 2020 roku; jest stosunkowo nowy, lecz szybko zyskuje na popularności; został zaprojektowany w celu kradzieży haseł, informacji o kartach kredytowych i innych poufnych danych przechowywanych w przeglądarkach internetowych, ponadto może również zbierać szczegółowe informacje dotyczące środowiska zainfekowanego systemu w celu ułatwiania ataków wtórnych, takich jak eskalacja (podniesienie) uprawnień i utrzymywanie trwałości w zainfekowanym systemie; jest on zazwyczaj dystrybuowany za pośrednictwem kampanii phishingowych, złośliwych reklam i dołączany do zhakowanego oprogramowania, co pokazuje ryzyko związane z pobieraniem niezweryfikowanego oprogramowania z Internetu,
- TrickBot – po raz pierwszy został odkryty w 2016 roku, ewoluował z trojana bankowego w wyrafinowane, wielozadaniowe złośliwe oprogramowanie zdolne do przeprowadzania ataków ransomware i zapewniania atakującym zdalnego dostępu do zainfekowanych systemów; ten infostealer rozprzestrzenia się za pośrednictwem kampanii spamowych i wykorzystuje luki w zabezpieczeniach infrastruktury sieciowej; jest on często uważany za jeden z najbardziej wyrafinowanych szczepów złośliwego oprogramowania o zróżnicowanych możliwościach,
- Ursnif (Gozi) – groźny trojan bankowy, odkryty ponad 10 lat temu; jego cechami charakterystycznymi są wyrafinowane techniki unikania wykrycia, modułowa konstrukcja, oraz zdolność do kradzieży różnych typów danych, poczynając od danych uwierzytelniających w bankowości elektronicznej po dane osobowe, w tym wrażliwe; ten szczep rozprzestrzenia się za pośrednictwem zestawów exploitów oraz phisingowych wiadomości email,
- Zeus (Zbot) – jeden z najbardziej niesławnych szczepów infostealerów, który atakuje głównie instytucje finansowe. Został po raz pierwszy zidentyfikowany już w 2007 roku i od tego okresu był wykorzystywany głównie do oszustw bankowych i tworzenia botnetów; jego cechą charakterystyczną jest zdolność do unikania wykrycia poprzez stosowanie technik ukrywania się oraz zdolność do replikacji i dystrybucji.
Trochę statystyki
W 2023 roku do najczęściej wykorzystywanych infostealerów należały:
- Vidar – wykorzystany w 1325 atakach, co stanowi 41,4% wszystkich ataków,
- LummaC2 – wykorzystany w 571 atakach, co stanowi 17,8% wszystkich ataków,
- Stealc – wykorzystany w 412 atakach, co stanowi 12,9% wszystkich ataków,
- Aurora Stealer – wykorzystany w 179 atakach, co stanowi 5,6% wszystkich ataków,
- RedLine Stealer – wykorzystany w 146 atakach, co stanowi 4,6% wszystkich ataków,
- Na pozostałe 17,7% ataków składają się następujące infostealery: Vidar Variant*, RisePro Stealer, MetaStealer, Atomic Stealer, Rhadamanthys Stealer, LummaC2 Variant*, Nexus Stealer, Stealc Variant*, Monster Stealer oraz pozostałe mniej znane odmiany infostealerów.
* pod pojęciem „Variant” należy rozumieć mniej znane odmiany głównych typów poszczególnych infostealerów.
Proliferacja dostawców infostealerów jako usług przyczyniła się do wzrostu liczby incydentów cyberbezpieczeństwa (ataków) z udziałem infostealerów. Liczba skradzionych dzienników danych sprzedawanych na darknetowym forum Russian Market znacznie wzrosła od 2022 r. Według badań firmy Kaspersky, przeprowadzonych w połowie 2023 r. aż 24% złośliwego oprogramowania oferowanego jako usługa (MaaS) to infostealery.
Podsumowanie
Infostealery, stanowiące oddzielny typ złośliwego oprogramowania, z roku na rok stają się coraz bardziej popularne i odgrywają kluczową rolę w środkowych etapach cyberataku. Poprzez wykradanie danych kluczowych i najistotniejszych dla poszczególnych osób jak i całych organizacji, są niezwykle groźnym narzędziem w rękach cyberprzestępców.
Autor: Michał Mamica