Граббер: что это такое, как он крадёт данные и как защититься

Слово «граббер» в IT встречается в двух контекстах. В нейтральном — это «сборщик» данных: например, веб-скрейпер, который подтягивает заголовки новостей. В небезопасном — это вредоносный инструмент (часто его называют «стилер», от stealer), который незаметно выкачивает пароли, куки, токены мессенджеров и другую приватную информацию. В этой статье мы разбираем именно второй тип — вредоносный граббер. Объясним, как такие программы работают, где вы рискуете столкнуться с ними и как выстроить защиту — дома и в компании.

Как работает вредоносный граббер: простая схема без магии

Граббер — это обычно небольшая программа, собранная из нескольких модулей. Один отвечает за скрытный запуск, другой — за сбор данных, третий — за упаковку и отправку этого «улова» злоумышленнику. Внешне всё выглядит буднично: вы открыли «документ с отчётом» или «кряк» к игре, программа мигнула и исчезла. Но в фоне она уже:

• Сканирует браузеры в поисках сохранённых паролей, автозаполнений и куки, чтобы затем зайти в ваши аккаунты без пароля и даже без SMS-кодов.
• Ищет токены приложений (мессенджеры, Discord, VPN-клиенты) и конфиги популярных программ.
• Собирает системную информацию — версию ОС, список процессов, IP, иногда снимок экрана.
• Упаковывает и шифрует всё найденное, чтобы антивирусам было сложнее заметить передачу данных.
• Отправляет «улов» на сервер (иногда — в облако, Telegram-боту или на анонимный хостинг).

Архитектура может отличаться, но логика почти всегда одна: быстро найти максимум «ценных» артефактов и унести, пока пользователь ничего не заметил.

Что именно крадёт граббер: список «трофеев»

Вот типичный перечень данных, которые интересуют стийлеры. Он поможет понять, почему риск недооценивать нельзя:

• Пароли и логины из браузеров и менеджеров паролей без мастер-пароля.
• Cookies и сессионные токены — позволяют входить в аккаунты без знания пароля и обходить SMS-код, если сайт неверно настроен.
• Токены мессенджеров и клиентов (например, Discord, Telegram Desktop, Slack).
• Автозаполнение (ФИО, телефоны, адреса, иногда данные карт, если вы их сохраняете).
• Кошельки и сид-фразы криптовалютных приложений и расширений.
• Скриншоты, содержимое буфера обмена (в т.ч. номера карт и одноразовые коды).
• Файлы из «Документы», «Рабочий стол», «Загрузки» и выбранных папок.

Как граббер попадает на устройство: главные сценарии

У злоумышленников нет одного «секретного» метода — они используют то, что работает прямо сейчас. Самые частые каналы:

• Фишинговые письма и вложения («счёт», «резюме», «жалоба»), ведущие к скачиванию заражённого файла или макроса.
• Фальшивые сайты с кнопкой «Скачать» или обновлениями популярных программ.
• Взломанные архивы и «кряки» игр и ПО, распространяемые на форумах.
• Соцсети и мессенджеры — «посмотри фотки/документ/видео», часто с укороченной ссылкой.
• Эксплойты уязвимостей в плагинах браузера или офисных форматах (реже, но больнее).

Признаки заражения: на что действительно стоит смотреть

Современные грабберы стараются не шуметь. Но иногда они оставляют поведенческие следы:

• Короткие всплески сетевой активности сразу после открытия «невинного» файла.
• Появление временных файлов и архивов в системных папках, которые быстро исчезают.
• Неожиданные запросы к профилям браузеров, попытки чтения файлов с куки/логинами.
• Лёгкие «фризы» системы при запуске приложений, особенно браузера.
• В почте — уведомления о входе в ваши сервисы из необычных мест/устройств.

Эти признаки не доказывают заражение, но повод проверить систему и логины — обязателен.

Где грань между «легальным» граббером и малварью

Сбор данных тоже бывает законным — например, вы пишете скрипт, который по API забирает погоду или считывает публичные RSS-ленты. Ключевые отличия легитимного «граббера»:

• Он работает с согласия владельца данных и в рамках условий сервиса (ToS).
• Использует официальные API и не ломится в закрытые разделы.
• Соблюдает robots.txt и правила сайта, не обходит защиту.

Всё остальное — особенно скрытый сбор персональных данных, паролей и токенов — это уже поле уголовного и административного права. Если вы специалист, формируйте привычку: любое снятие данных — только по официальному каналу, по договору и с письменным согласием.

Что делать, если есть подозрение на граббер: пошаговый план

Не паникуем — действуем по чек-листу. Чем раньше начнёте, тем меньше ущерб.

1. Отключите интернет на устройстве (Wi-Fi/кабель). Это не «магия», но снизит шанс утечки.
2. Сделайте снимок состояния: время, что запускали, из какого письма/сайта — эти детали помогут потом.
3. Проверьте устройство из «чистой» среды — загрузочная флешка антивируса или LiveUSB. Подойдут, например, офлайн-сканеры ведущих вендоров.
4. Смените пароли к важным аккаунтам с другого, безопасного устройства. Включите 2FA через приложение или ключ.
5. Проверьте активные сессии в почте, соцсетях, облаках — выведите из всех устройств, кроме текущего.
6. Проанализируйте подозрительный файл в изоляции на сервисах вроде VirusTotal, ANY.RUN, Hybrid Analysis.
7. При необходимости — переустановка ОС с форматированием, если уверенности в чистоте нет.
8. Сообщите в ИБ-отдел (если это рабочий компьютер) и зафиксируйте инцидент.

Профилактика для дома и малого бизнеса: простые меры, которые реально работают

Безопасность — это не один «суперщит», а несколько простых барьеров, которые вместе дают сильный результат.

• Двухфакторная аутентификация везде, где возможно. Лучше — аппаратные ключи FIDO2 ( FIDO Alliance) или приложения-генераторы кода, а не SMS.
• Менеджер паролей с мастер-паролем и отключёнными «сохранить в браузере».
• Обновления ОС и ПО по расписанию, автообновления — включены.
• EDR/антивирус от надёжного вендора, контроль запуска и изоляция подозрительных файлов.
• Почтовые фильтры + обучение распознаванию фишинга (примеры писем и «красные флажки»).
• Бэкапы по схеме 3-2-1: три копии, два носителя, одна — вне офиса/облака.
• Минимум прав пользователям и приложениям, отключение автозапуска макросов Office.

Инструменты и сервисы, которые помогают

Список пригодится и пользователям, и специалистам:

• Have I Been Pwned — проверка, «засветилась» ли ваша почта в утечках.
• MITRE ATT&CK — база тактик и техник злоумышленников с примерами детектов.
• VirusTotal, ANY.RUN, Hybrid Analysis — статический/динамический анализ файлов.
• Sysmon (журналирование процессов), Process Monitor/Explorer — просмотр активности.
• Sigma — формат правил для SIEM, чтобы ловить подозрительные события в логах.
• YARA — сигнатуры для поиска похожих вредоносов в файлах.
• Velociraptor, KAPE — форензика и сбор артефактов.

Для специалистов ИБ: куда смотреть в логах и как строить детекты

Если вы отвечаете за мониторинг, грабберы часто проявляются как цепочки «тихих» действий. Ниже — ориентиры высокого уровня (без вредоносных техник), которые помогают строить поведенческие правила.

MITRE ATT&CK: типичные техники

• T1056 (Input Capture) — чтение буфера/кейлоггинг.
• T1555/T1552 (Credentials from Password Stores/Unsecured Credentials) — обращения к хранилищам браузеров.
• T1027 (Obfuscated/Compressed Files) — архивы и шифрование перед отправкой.
• T1041 (Exfiltration Over C2 Channel) — выгрузка на С2, мессенджеры, облако.

Полезные события журналов

• Sysmon Event ID 1/7/11 — создание/загрузка модулей неизвестными приложениями из %TEMP%, попытки чтения файлов профилей браузеров.
• DNS/Proxy — всплески обращений к редким доменам сразу после открытия вложения.
• EDR — доступ процессов Office/PDF-ридеров к файлам Cookies, Login Data, Local State и т.п.

Идеи для Sigma-правил (наброски)

Поддержите правило на события доступа несистемных процессов к файлам профиля браузеров. Пример концептуального описания:

• Selection: ProcessImage not in {browser.exe, updater.exe} AND FilePath endswith {Login Data, Cookies, Local State}
• Condition: selection AND NOT known_backup_tool
• Action: high severity + enrich с хешем процесса и родительским PID

Такие правила не «ловят всё», но хорошо подсвечивают аномалии рядом с профилями браузеров.

Профилактика для средних и крупных компаний: что добавить сверх «базовой гигиены»

Если у вас есть ИТ-команда, усилить защиту от грабберов можно без кардинальной перестройки инфраструктуры:

• Браузерная изоляция (remote browser isolation) для почты и незнакомых сайтов.
• Политики браузеров: запрет хранения паролей, централизованные профили, включённый Cookie Partitioning.
• Контейнеры/VDI для доступа к внешним ресурсам партнёров, где уровень доверия низкий.
• Контроль приложений (allow-list) и блокировка запуска из %TEMP% и %Downloads%.
• Автоочистка кэшей и сессий после административных действий, короткие TTL токенов.
• Песочница для вложений с автоматической детонацией и отчётами ( ANY.RUN полезен как внешний дубль).
• Сегментация сети и прокси с TLS-инспекцией по политике, чтобы видеть эксфильтрацию.
• Регулярные учения по фишингу и отработка инцидент-процедур.

FAQ: короткие вопросы, быстрые ответы

Антивирус у меня есть. Этого достаточно?

Хороший антивирус — важная часть защиты, но грабберы часто меняют упаковку и маскируются под легитимные процессы. Нужна дополнительная гигиена: 2FA, обновления, внимательность к вложениям, бэкапы.

Если я храню пароли в браузере — это плохо?

Это удобнее, но рискованнее. Лучше менеджер паролей с мастер-паролем и отдельной базой. Хотя бы отключите автосохранение в браузере на рабочих станциях.

Стоит ли всегда переустанавливать ОС после подозрения?

Если инцидент подтверждён, а вы не уверены в полном удалении — да, это самый чистый путь. Перед этим заберите нужные файлы и проверьте их на другом, чистом устройстве.

Как понять, утекли ли мои логины?

Проверьте свою почту через Have I Been Pwned и просмотрите активные сессии в ключевых сервисах (Google, Microsoft, соцсети). Если есть сомнения — меняйте пароли и выходите из всех устройств.

Итоги

Граббер — это не «хакерская магия», а прагматичный инструмент киберпреступников, который выкачивает самое ценное — ваши доступы. Хорошая новость в том, что противодействовать ему можно здравым набором мер: двухфакторка, отказ от хранения паролей в браузере, внимательность к вложениям, регулярные обновления, бэкапы и базовые политики для рабочих станций. А если вы отвечаете за безопасность в компании — добавьте изоляцию, контроль приложений, песочницы и наблюдательность в логах. Это та самая «комбинация из нескольких дверных замков», которая сильно усложняет жизнь злоумышленникам.