Iată ce trebuie să știți despre programele malware care atacă conturile de e-mail, browserele web, portofelele de criptomonede și multe altele – totul în căutarea datelor dvs. sensibile.

În lumea criminalității cibernetice, informația constituie un mijloc pentru atingerea unui scop. Iar acel scop, de cele mai multe ori, este obținerea de bani. De aceea, malware-ul de tip infostealer (care sustrage informații) a devenit actorul principal în fraudele de identitate, preluarea conturilor și furtul de monedă digitală. Totuși, există și o mulțime de oameni care își petrec mare parte din viața lor de zi cu zi online și reușesc să rămână în siguranță. Secretul constă în a înțelege cum să gestionați eficient riscurile digitale.

Iată tot ce trebuie să știți pentru a vă feri datele personale și financiare de pericole.

Ce fel de informații sunt vizate de infostealere?

Multe programe de tip infostealer își au originea într-o mostră „iconică” de malware: un troian bancar cunoscut sub numele de ZeuS, care a fost conceput pentru a sustrage în mod discret informațiile financiare ale victimelor, cum ar fi datele de autentificare pentru serviciile de banking online. După ce codul său sursă a fost divulgat în 2011, versiuni noi au inundat mediul infracțional cibernetic, iar industria în plină dezvoltare a infostealerelor a început să prindă contur, creatorii îmbunătățindu-i și personalizându-i constant capacitățile. Astăzi, există versiuni pentru aproape orice platformă de calcul, de la PC-uri cu Windows și computere macOS, până la dispozitive iOS și Android.

Ce urmăresc infostealerele depinde de variantă. Datele de autentificare și cookie-urile de sesiune, care le pot permite hackerilor să ocolească autentificarea multifactor (MFA), sunt ținte predilecte. Un raport estimează că 75% (2,1 miliarde) din cele 3,2 miliarde de date de autentificare furate anul trecut au fost colectate prin intermediul infostealerilor. Alte informații personale și financiare care ar putea fi în pericol includ:

• Detalii despre carduri de plată, conturi bancare și criptomonede (de exemplu, chei ale portofelelor crypto)
• Alte informații financiare, inclusiv detalii despre asigurări sau numărul de identificare personală
• Date din browser, inclusiv istoricul de navigare și orice date „salvate în formulare”, care pot include date de plată și parole
• Informații despre sistemul computerului sau dispozitivului dvs.
• Fișiere stocate pe calculator / dispozitiv, inclusiv fotografii și documente
• Alte informații personale, cum ar fi nume, numere de telefon și adrese

Cum funcționează infostealerele?

Scopul acestui tip de malware este să găsească în mod discret și rapid informații sensibile de pe computerul sau dispozitivul dvs. și să le exfiltreze către un server aflat sub controlul atacatorilor. Pentru a face acest lucru, infostealerul accesează browserele web, clienții de e-mail, portofelele crypto, fișierele, aplicațiile și chiar sistemul de operare în sine.

Alte tehnici includ:

• „Form grabbing” (furtul formularelor), care presupune căutarea datelor de autentificare introduse într-un formular online, înainte ca acestea să fie trimise către un server securizat
• Keylogging (înregistrarea tastelor), adică malware-ul înregistrează fiecare tastă apăsată de utilizator
• Capturi de ecran, ale ecranului principal sau desktop-ului, în cazul în care sunt afișate acolo informații sensibile
• Furtul de informații din clipboard-ul dispozitivului – adică tot ce ați copiat temporar (text, parole, link-uri etc.)

Odată ce informațiile au fost trimise înapoi către serverul unui atacator – de multe ori în doar câteva secunde – acestea sunt, de regulă, organizate sub formă de „log-uri” și vândute pe piața subterană a criminalității cibernetice. Infractorii le vor folosi apoi pentru a:

• Prelua controlul asupra conturilor dvs. online (de exemplu, Netflix, Uber), fie pentru a fura informații stocate, fie pentru a vinde accesul altor persoane
• Comite fraude de identitate, cum ar fi solicitarea unui credit în numele dvs. sau utilizarea cardurilor / contului bancar pentru a face achiziții
• Comite fraude medicale / de asigurări, prin obținerea de tratamente sau medicamente în numele dvs.
• Comite fraude fiscale, prin depunerea declarațiilor de venit în locul dvs. și încasarea rambursărilor
• Viza contactele dvs. cu mesaje de tip phishing sau spam
• Goli conturile dvs. financiare (de fonduri)

Figura 1. Ecran de întâmpinare afișat de programul de instalare al infostealerului Vidar, care imită Midjourney (sursa: Raportul de Securitate ESET, S1 2024)

Cum puteți fi infectat cu malware de tip infostealer?

Primul pas pentru a vă proteja de infostealere este să înțelegeți cum se răspândesc. Există mai mulți vectori de atac, însă cei mai comuni includ:

• E-mailuri / SMS-uri de phishing: O tehnică clasică de inginerie socială pentru a vă convinge să dați clic pe link-uri malițioase sau să deschideți o anexă, declanșând o instalare ascunsă de malware. Atacatorul va impersona de obicei o persoană, un brand sau o autoritate de încredere, folosind adesea domenii falsificate și logo-uri oficiale.
• Site-uri web malițioase: Acestea pot face parte dintr-o campanie de phishing sau pot fi folosite ca „instrumente” independente. Puteți fi îndemnat să descărcați ceva sau să accesați un link, ori site-ul poate declanșa un „drive-by-download” („descărcare automată”) doar prin vizitarea lui. Atacatorii pot folosi tehnici de SEO malițios (black hat SEO) pentru a ridica artificial aceste site-uri în rezultatele căutării, astfel încât să apară primele când căutați ceva online.
• Site-uri web compromise: Uneori, hackerii compromit site-uri legitime pe care le vizitați, posibil prin exploatarea unei vulnerabilități a browserului sau prin inserarea unei reclame malițioase (malvertising). Ambele tehnici pot declanșa instalarea unui infostealer.
• Aplicații malițioase: Programe care par legitime pot ascunde un malware periculos ce fură informații, odată descărcate. Riscul este deosebit de mare pe dispozitivele mobile, care deseori nu sunt la fel de bine protejate ca PC-urile. Atenție mai ales la versiunile piratate ale jocurilor sau altor programe populare.
• Înșelătorii pe rețelele sociale: Escrocii pot încerca să vă păcălească pentru a da clic pe o reclamă sau postare atrăgătoare de pe rețelele sociale, dându-se drept o celebritate sau folosind un cont legitim compromis. Rămâneți atent la oferte, concursuri sau conținut „exclusiv” care par prea bune ca să fie adevărate.
• Modificări / trucuri pentru jocuri: Modificările neoficiale sau cheat-urile (trucurile) pentru jocuri video pot conține malware de tip infostealer. De exemplu, cercetătorii ESET au descoperit mai multe repository-uri (depozite) pe GitHub care pretindeau că oferă farm bots și auto-clickere (programe de auto-clic) pentru a accelera jocul pe Hamster Kombat. În realitate, acestea ascundeau varianta Lumma Stealer.

Figura 2. Depozit (repository) GitHub care răspândește Lumma Stealer, identificat de cercetătorii ESET (sursa: Raportul de Securitate ESET, S2 2024)

O privire asupra peisajului amenințărilor

Așa cum dezvăluie ESET în Raportul de Securitate – Semestrul II 2024, piața infostealer-elor este o afacere profitabilă pentru infractorii cibernetici. Modelul malware-as-a-service (MaaS) a democratizat accesul la multe dintre variantele de infostealer disponibile pe piețele infracționale. Unele dintre aceste site-uri oferă și servicii de analiză a log-urilor, pentru a-i ajuta pe atacatori să extragă date din fișierele brute, fie pentru uz propriu, fie pentru revânzare.

După cum observă ESET, aceste tipuri de malware sunt într-o continuă dezvoltare. Formbook, de exemplu, este activ încă din 2021. Însă, recent, a adăugat tehnici sofisticate de ofuscare, menite să îngreuneze prelevarea de mostre și analiza de către cercetătorii în securitate cibernetică. Alte variante, precum RedLine, au dispărut în urma unor acțiuni coordonate ale forțelor de ordine. Însă altele, cum este Lumma Stealer, pur și simplu le iau locul. Potrivit cercetărilor ESET, această variantă a înregistrat o creștere anuală de 369% a detecțiilor, în a doua jumătate a anului 2024.

Cum vă puteți feri de infostealere?

Cum puteți avea siguranța că un infostealer nu ajunge pe dispozitivul dvs. mobil sau pe computer? Având în vedere că acest tip de malware se poate răspândi prin diverse metode, este important să țineți cont de câteva bune practici esențiale. Acestea includ:

• Instalați și mențineți la zi un software de securitate pe toate dispozitivele. Acest pas este esențial pentru a vă proteja împotriva infostealerelor și altor amenințări.
• Rămâneți atent la tentativele de phishing. Evitați să dați clic pe link-uri din mesaje nesolicitate sau să deschideți anexe. Verificați întotdeauna independent dacă expeditorul v-a trimis cu adevărat mesajul. Uneori, dacă treceți cu mouse-ul peste adresa de email a „expeditorului”, puteți vedea că a fost trimis de altcineva.
• Descărcați aplicații/ software doar din magazine (online) oficiale. Deși uneori și în Google Play poate apărea malware, acesta este de obicei eliminat rapid. Canalele oficiale sunt mult mai sigure decât magazinele terțe. Evitați de asemenea să descărcați software piratat sau „crack-uit”, mai ales dacă vi se oferă gratuit.
• Mențineți sistemul de operare (OS) și aplicațiile actualizate, deoarece cele mai noi versiuni includ și cele mai recente patch-uri de securitate.
• Fiți precaut pe rețelele sociale și amintiți-vă că, dacă o ofertă pare prea bună pentru a fi adevărată, de obicei așa este. Dacă aveți dubii, căutați mai multe informații pe Google pentru a vedea dacă este o înșelătorie. Amintiți-vă că inclusiv conturile prietenilor sau ale celebrităților pot fi compromise pentru a promova escrocherii. Evitați să dați clic pe link-uri nesolicitate.
• Îmbunătățiți securitatea autentificării, folosind parole puternice și unice pentru fiecare cont, stocate într-un manager de parole. Activați autentificarea multifactor (MFA) pentru toate conturile dvs. Acest pas oferă un strat suplimentar de protecție împotriva unor tehnici folosite de infostealere, precum keylogging-ul, deși nu este 100% sigur.

Trucul constă în a suprapune aceste măsuri (în straturi), reducând astfel posibilitățile de atac pentru infractorii digitali. Dar amintiți-vă că aceștia vor continua să încerce și să dezvolte noi metode pentru a ocoli nivelurile de protecție, așa că vigilența este esențială.