Разбираемся в недавних утечках учетных данных и росте числа вредоносных программ InfoStealer

Угроза, исходящая от вредоносных программ InfoStealer, растет. Программы нацелены на людей и организации в сфере цифровых финансов и далеко за ее пределами. InfoStealer - это категория вредоносных программ, которые предназначены для извлечения конфиденциальных данных с зараженных устройств без ведома жертвы. Это включает пароли, сессионные файлы cookie, данные крипто-кошелька и другую ценную личную информацию.

По данным Kaspersky, в прошлом году из-за этих вредоносных кампаний произошла утечка более 2 миллионов данных банковских карт. И это число только растет.

Вредоносное ПО как услуга

Эти инструменты широко доступны по модели «Вредоносное ПО как услуга». Киберпреступники могут получить доступ к передовым платформам, которые предлагают информационные панели, техническую поддержку и автоматическую передачу данных на серверы управления за абонентскую плату. После кражи данные продаются на темных веб-форумах, Telegram-каналах или частных торговых площадках.

Ущерб от заражения InfoStealer может выйти далеко за рамки одной скомпрометированной учетной записи. Утечка учетных данных способна привести к краже личных данных, финансовому мошенничеству и несанкционированному доступу к другим сервисам, особенно при повторном использовании учетных данных на разных платформах.

Эту тенденцию отражают внутренние данные Binance. За последние несколько месяцев зафиксирован значительный рост числа пользователей, чьи учетные данные или данные о сеансах, по-видимому, были скомпрометированы в результате заражения InfoStealer. Эти инфекции исходят не от Binance, а от персональных устройств, на которых учетные данные сохраняются в браузерах или автоматически вводятся на веб-сайты.

Пути распространения

Вредоносная программа InfoStealer часто распространяется с помощью фишинговых кампаний, вредоносной рекламы, троянских программ или поддельных расширений для браузера. Попав на устройство, InfoStealer сканирует сохраненные учетные данные и передает их злоумышленнику.

Наиболее популярные способы распространения включают:

1. Фишинговые электронные письма с вредоносными вложениями или ссылками.
2. Поддельные загрузки или программное обеспечение из неофициальных магазинов приложений.
3. Игровые моды и взломанные приложения, которые распространяются через Discord или Telegram.
4. Вредоносные расширения или дополнения для браузера.
5. Взломанные веб-сайты, которые незаметно устанавливают вредоносное ПО (загрузка с диска).

После активации InfoStealers могут извлекать пароли, сохраненные в браузере, записи автозаполнения, данные буфера обмена (включая адреса крипто-кошельков) и даже токены сеанса, которые позволяют злоумышленникам выдавать себя за пользователей, не зная их учетных данных для входа.

На что следует обратить внимание

Некоторые признаки, которые могут свидетельствовать о заражении вашего устройства InfoStealer:

1. Необычные уведомления или расширения, которые появляются в вашем браузере.
2. Предупреждения о несанкционированном входе в систему или необычной активности учетной записи.
3. Неожиданные изменения настроек безопасности или паролей.
4. Внезапное снижение производительности системы.

Анализ вредоносного ПО InfoStealer

За последние 90 дней Binance обнаружила несколько известных вариантов вредоносного ПО InfoStealer, нацеленных на пользователей Windows и macOS. RedLine, LummaC2, Vidar Stealer и AsyncRAT были особенно распространены среди пользователей Windows. 

1. RedLine Stealer известен тем, что собирает учетные данные для входа в систему и информацию, связанную с криптовалютой, из браузеров.
2. LummaC2 - это быстро развивающаяся угроза с интегрированными методами обхода современных средств защиты браузера, таких как шифрование, связанное с приложением. Теперь он может красть файлы cookie и данные крипто-кошелька в режиме реального времени.
3. Vidar Stealer специализируется на извлечении данных из браузеров и локальных приложений, а также на перехвате учетных данных криптовалютного кошелька.
4. AsyncRAT позволяет злоумышленникам удаленно отслеживать действия жертв, регистрируя нажатия клавиш, делая скриншоты и развертывая дополнительную полезную нагрузку. Недавно киберпреступники перепрофилировали AsyncRAT для атак, связанных с криптовалютой, собирая учетные и системные данные со взломанных компьютеров Windows.

Для пользователей macOS Atomic Stealer стал серьезной угрозой. Этот злоумышленник может извлекать учетные данные зараженных устройств, данные браузера и информацию о криптовалютном кошельке. Распространяемый по каналам stealer-as-a-service, Atomic Stealer использует собственный AppleScript для сбора данных, что представляет значительный риск для отдельных пользователей и организаций, которые используют macOS. Другие известные варианты, ориентированные на macOS, включают Poseidon и Banshee.

В Binance реагируют на эти угрозы, отслеживая темные веб-площадки и форумы на предмет утечки пользовательских данных, предупреждая пострадавших пользователей, инициируя сброс паролей, отменяя скомпрометированные сеансы и предлагая четкие рекомендации по безопасности устройств и удалению вредоносных программ.

Инфраструктура Binance остается защищенной, но кража учетных данных с зараженных персональных устройств - это внешний риск, с которым мы все сталкиваемся. Это делает обучение пользователей и кибергигиену более важными, чем когда-либо.

Binance призывает пользователей и криптовалютное сообщество проявлять бдительность и предотвращать эти угрозы, используя антивирусные средства и средства защиты от вредоносных программ и регулярно проводя проверку. К числу бесплатных инструментов, которые пользуются авторитетом, относятся Malwarebytes, Bitdefender, Kaspersky, McAfee, Norton, Avast и Windows Defender. Пользователям macOS рекомендуется воспользоваться комплектом средств защиты от вредоносных программ Objective-See. 

Упрощенное сканирование обычно работает неэффективно, поскольку большинство вредоносных программ самостоятельно удаляют файлы на первом этапе после первоначального заражения. Всегда выполняйте полное сканирование диска, чтобы обеспечить надежную защиту.

Вот несколько практических шагов, которые вы можете предпринять, чтобы снизить подверженность этой и многим другим угрозам кибербезопасности:

1. Включите двухфакторную аутентификацию (2FA) с помощью приложения-аутентификатора или аппаратного ключа.
2. Избегайте сохранения паролей в вашем браузере. Рассмотрите возможность использования специального менеджера паролей.
3. Загружайте программное обеспечение и приложения только из официальных источников.
4. Поддерживайте актуальность своей операционной системы, браузера и всех приложений.
5. Периодически проверяйте авторизованные устройства в своей учетной записи Binance и удаляйте незнакомые записи.
6. Используйте белый список адресов для вывода средств, чтобы ограничить количество отправляемых средств.
7. Избегайте использования общедоступных или незащищенных сетей Wi-Fi при доступе к конфиденциальным учетным записям.
8. Используйте уникальные учетные данные для каждой учетной записи и регулярно обновляйте их.
9. Следите за обновлениями для системы безопасности и рекомендациями Binance и других надежных источников.
10. При подозрении на заражение вредоносным ПО немедленно меняйте пароли, блокируйте учетные записи и сообщайте через официальные каналы поддержки Binance.

Растущая значимость угрозы InfoStealer является напоминанием о том, насколько продвинутыми и широко распространенными стали кибератаки. Хотя Binance продолжает вкладывать значительные средства в безопасность платформы и мониторинг dark web, защита ваших средств и персональных данных требует действий с обеих сторон.

Будьте в курсе событий, соблюдайте правила безопасности и поддерживайте чистоту устройств, чтобы значительно снизить подверженность таким угрозам, как вредоносное ПО InfoStealer.

Об авторе

Джимми Су - главный специалист по безопасности в Binance.

Эта статья предназначена для общего ознакомления и не должна восприниматься как юридическая или инвестиционная консультация. Взгляды, мысли и суждения, выраженные в этой статье, принадлежат только автору.