Инфостилеры: как работают похитители данных, методы заражения, типы, защита и удаление

инфостилер похититель данных кража информации вредоносное ПО защита кибербезопасность
Инфостилеры: как работают похитители данных, методы заражения, типы, защита и удаление

Инфостилеры: как работают похитители данных, методы заражения, типы, защита и удаление

Когда речь заходит о киберугрозах, большинство пользователей представляют себе зловещие вирусы-вымогатели, которые блокируют файлы и требуют выкуп. Но есть одна категория вредоносных программ, куда менее заметная, но зачастую гораздо опаснее — инфостилеры. Это невидимые "карманники" цифрового мира: проникают в систему, тихо воруют ценную информацию и исчезают, оставляя жертву без малейших подозрений. И если шифровальщика сложно не заметить, то работа инфостилера зачастую остаётся незамеченной до момента, когда в сети появляются ваши пароли, банковские данные или аккаунты.

Инфостилеры — это особый класс вредоносного ПО, созданный с единственной целью: собрать и отправить злоумышленнику максимально полный набор конфиденциальных данных с заражённого устройства. Они не кричат о себе, не тормозят компьютер, не выводят жуткие баннеры. Их миссия — быть незаметными и эффективными. В этой статье подробно разберём, как устроены инфостилеры, какие схемы заражения используют, за какими данными охотятся, как именно "утекает" информация, а главное — как не попасться и что делать, если угроза уже внутри.

Что такое инфостилеры и какова их цель

Инфостилеры (от англ. info-stealer — "крадущий информацию") — это вредоносные программы, специализирующиеся на краже пользовательских данных. Они не занимаются вымогательством, разрушением файлов или установкой руткитов. Их задача проста: собрать наибольшее количество информации — от паролей до "содержимого" кошельков криптовалют — и быстро отправить эти данные оператору.

Классический инфостилер — это "невидимка", который после проникновения в систему анализирует хранилища браузеров, файловые системы, кэш популярных мессенджеров и почтовых клиентов, ищет скриншоты, токены, cookie-файлы, сессии и любые другие "лакомые кусочки". Дальше всё украденное отправляется по заранее настроенному каналу (например, через Telegram-бота, почту, HTTP-запросы или даже FTP) на сервер злоумышленника. После этого инфостилер либо удаляет себя, либо продолжает жить в системе, чтобы собирать новые данные.

Как инфостилеры попадают на устройство: схемы заражения

Основная причина заражения инфостилерами — неосторожность пользователя и слабые места в организации корпоративной или персональной безопасности. Вот самые популярные каналы распространения:

  • Фишинговые письма и сайты. Классика жанра: письмо с вложением (Word, PDF, ZIP), внутри которого замаскирован вредоносный код, или ссылка на поддельный сайт с "обновлением", "драйвером", "выгодным предложением". Пользователь сам запускает программу — инфостилер тут как тут.
  • Взломанные или фальшивые программы. Часто инфостилеры прячутся в популярных "ломаных" версиях Photoshop, Windows, игр, плагинов для браузеров и даже читах для игр. Мечта халявщика оборачивается потерей аккаунтов и финансов.
  • Эксплойты и уязвимости. Некоторые продвинутые инфостилеры распространяются с помощью эксплойтов для старых версий программ (например, уязвимостей в Microsoft Office, Flash, PDF-ридерах), позволяя заразить систему вообще без участия пользователя (т.н. drive-by-download).
  • Социальная инженерия. Классические сценарии с "отправкой резюме", "контрактом" или даже "документом для налоговой" в корпоративную почту, прикрываясь именем реального контрагента или коллеги.
  • Вредоносные расширения для браузеров. Некоторые инфостилеры маскируются под "полезные" расширения, которые требуют доступ к просмотру всех данных на страницах — а дальше дело техники.

За какими данными охотятся инфостилеры

Перечень интересующих злоумышленников данных напрямую зависит от "специализации" конкретного вредоноса, но обычно охота идёт за следующим:

  • Пароли и логины. Все, что хранится в браузерах, FTP-клиентах, почтовых клиентах, мессенджерах и даже некоторых играх. Инфостилеры "вскрывают" защищённые хранилища популярных браузеров (Chrome, Firefox, Opera, Edge, Brave, Vivaldi и др.), извлекают логины и пароли к сайтам, почте, корпоративным порталам.
  • Cookie-файлы и сессии. Эти крошечные кусочки информации позволяют обойти двухфакторную аутентификацию: украв ваши cookie от Facebook или Telegram, злоумышленник сможет войти под вашим аккаунтом с другого устройства без пароля и подтверждения входа.
  • Данные криптовалютных кошельков и токены. Воруют файлы wallet.dat, приватные ключи, seed-фразы, JSON-файлы для Metamask и других расширений, а также токены сессий.
  • Данные автозаполнения (адреса, телефоны, банковские карты). Многие браузеры и приложения хранят эту информацию "для удобства". Инфостилеры её легко извлекают.
  • Личные документы и файлы. Часто ищутся файлы с определёнными расширениями или по ключевым словам (passport, secret, password, scan, кошелёк и пр.), особенно если вредонос ориентирован на корпоративные системы.
  • Скриншоты экрана и снимки веб-камеры. Некоторые "продвинутые" инфостилеры делают скриншоты сразу после запуска или при открытии определённых программ, чтобы заполучить банковские приложения, интерфейсы криптокошельков и т.п.

Основные разновидности инфостилеров

Несмотря на обилие названий, можно выделить несколько ключевых разновидностей инфостилеров по механике и целям:

  • Браузерные инфостилеры. Специализируются на сборе данных из браузеров: пароли, cookie, история, автозаполнение, сохранённые карты и адреса.
  • Криптостилеры. Охотятся именно за криптовалютными кошельками, ключами, seed-фразами. Многие работают точечно с популярными расширениями (например, Metamask, Ronin, Phantom, Trust Wallet).
  • Корпоративные инфостилеры. Ориентированы на похищение документов, корпоративных сертификатов, ключей для VPN и облачных сервисов, SSH-ключей.
  • Комплексные стилеры. Совмещают все перечисленные функции, умеют делать скриншоты, искать по маскам файлов, работать с несколькими протоколами передачи данных.
  • Мобильные инфостилеры. Работают под Android (редко — под iOS), похищая данные из мобильных приложений, SMS, push-уведомлений, банковских приложений.

На рынке "даркнета" существует целый зоопарк популярных инфостилеров: RedLine Stealer , Stealc , Raccoon , Azorult , Lumma , Vidar и многие другие. Каждый год появляются новые модификации, всё более незаметные и "гибкие".

Как работает инфостилер: техническая схема

После проникновения на устройство инфостилер обычно действует по одной из классических схем:

  1. Определяет, в какой системе оказался (операционная система, права доступа, установленные программы, браузеры).
  2. Извлекает сохранённые пароли из файловых или реестровых хранилищ браузеров, используя "встроенные" средства Windows или специальные библиотеки для обхода защиты (например, расшифровывает базу Chrome с помощью ключа Windows DPAPI).
  3. Собирает cookie, данные автозаполнения, файлы кошельков и ключи, данные FTP-клиентов, мессенджеров и почтовых программ.
  4. Ищет определённые файлы в системных папках и на рабочих столах, сканирует содержимое по маскам или ключевым словам.
  5. В ряде случаев делает скриншоты и копирует буфер обмена.
  6. Упаковывает все собранные данные в архив или специальный формат.
  7. Передаёт архив злоумышленнику через заданный канал (о них — чуть ниже).
  8. Иногда удаляет себя или "затаивается" для дальнейшей работы.

Как данные передаются злоумышленникам

Транспорт украденных данных — отдельная наука. Чем меньше подозрительных сетевых пакетов и необычного трафика, тем выше шансы, что инфостилер останется незамеченным.

  • HTTP(S) запросы. Чаще всего ворованный архив отправляется на заранее подготовленный веб-сервер с использованием POST-запроса — иногда даже в формате, имитирующем обычные обращения к легитимным сайтам.
  • Telegram-боты и чаты. Современные стилеры активно используют Telegram-ботов: все данные шифруются и отправляются через Telegram API прямо в канал или личку оператора. Такой трафик сложно заблокировать.
  • Почтовые сообщения. Некоторые старые стилеры отправляют данные через SMTP прямо на почту злоумышленника. Сейчас такой метод встречается реже.
  • FTP/SFTP/SCP. Вредонос поднимает соединение с удалённым сервером и заливает туда архив.
  • Облачные сервисы. Иногда для передачи используются легитимные сервисы вроде Dropbox, Google Drive, Mega, куда инфостилер заливает данные по API.

Передача может быть одноразовой (сразу после заражения) либо периодической (вредонос живёт в системе и "отправляет урожай" раз в день/неделю).

Как злоумышленники извлекают и используют украденные данные

Когда данные получены, злоумышленник либо сам пользуется ими (например, для входа в банковские сервисы, биржи, корпоративные порталы), либо выставляет "дампы" на продажу в даркнете. Есть целые площадки и Telegram-боты, где за несколько долларов можно купить "свежий лог" (архив с паролями, cookie, сессиями и файлами) жертвы.

Самые ценные данные — банковские пароли, доступы к бизнес-почте, аккаунты популярных криптобирж и кошельков, токены Telegram/WhatsApp/Discord. Даже если злоумышленник не ворует напрямую деньги, он может продать доступ "специалисту" — фишеру, социальному инженеру, участнику схемы с обналичиванием или спаму. Заражённый компьютер может использоваться и для дальнейшего распространения атак, например, для массовых рассылок или установки другого вредоносного ПО.

Превентивная защита от инфостилеров: что делать заранее

Предотвратить заражение гораздо проще, чем устранять последствия. Вот базовые меры, которые действительно работают:

  • Не скачивайте "кряки" и подозрительные программы. Ломанные версии ПО — первый и главный канал распространения стилеров. Если очень нужно — пользуйтесь VirusTotal для проверки файлов.
  • Будьте внимательны с вложениями и ссылками. Даже если письмо пришло "от коллеги", проверьте, не подделан ли адрес. Никогда не открывайте подозрительные вложения.
  • Используйте антивирус с функцией обнаружения вредоносных скриптов и анализом поведения. Лучше всего работают комплексные решения, отслеживающие нетипичную активность приложений (например, попытки доступа к папкам браузера или автоматический экспорт паролей).
  • Регулярно обновляйте систему и программы. Многие атаки используют старые уязвимости. Обновления — не только для "галочки".
  • Не храните все пароли в браузере. Лучше использовать отдельные менеджеры паролей, такие как Bitwarden или KeePass . Большинство стилеров нацелены именно на встроенные хранилища браузеров.
  • Включайте двухфакторную аутентификацию (2FA) везде, где можно. Даже если пароли украдут, злоумышленник не войдёт без второго фактора.
  • Проверяйте список установленных расширений браузера. Удаляйте всё, что не используете или не помните, когда устанавливали.
  • Контролируйте свои cookie и очищайте их периодически. Это можно делать вручную или с помощью расширений вроде Cookie-Editor .

Что делать, если инфостилер уже попал на компьютер

В ситуации, когда заражение уже случилось, важно действовать быстро и решительно. Вот пошаговый план:

  1. Отключите устройство от интернета. Это остановит передачу данных злоумышленнику.
  2. Запустите проверку антивирусом или специализированными сканерами. Подойдут Kaspersky Virus Removal Tool , Dr.Web CureIt! , сканер вирусов от Malwarebytes и другие. Лучше проверять в "безопасном режиме".
  3. Проверьте автозагрузку и список процессов. Инфостилеры часто прописывают себя в автозагрузку. Используйте Autoruns для поиска подозрительных записей.
  4. Очистите все пароли в браузерах и мессенджерах, затем смените их на новых устройствах. Сначала удалите сохранённые пароли, cookie, токены — и только потом меняйте их вручную, чтобы новые данные не были украдены повторно.
  5. Проверьте наличие подозрительных расширений браузера и удалите их.
  6. Сбросьте сессии на всех сервисах (почта, соцсети, банки, криптобиржи). Обычно это можно сделать в разделе безопасности аккаунта — завершите все активные сессии.
  7. Проверьте, не появились ли подозрительные устройства в списке доверенных.
  8. После очистки желательно переустановить систему "с нуля". Это крайняя, но самая надёжная мера.

Если вы обнаружили, что какие-то аккаунты уже скомпрометированы — срочно связывайтесь со службой поддержки соответствующих сервисов и блокируйте доступ.

Заключение: бдительность — лучшая защита

Мир инфостилеров развивается так же быстро, как и мир антивирусов и средств защиты. С каждым годом эти вредоносы становятся всё более хитрыми, малозаметными, учатся обходить антивирусы, использовать легитимные каналы передачи данных и даже имитировать обычную активность пользователя. Но в большинстве случаев ключ к безопасности прост: внимательность, регулярное обновление ПО и немного здорового паранойи при работе с файлами и ссылками.

Самый ценный ресурс в цифровую эпоху — это ваши данные. Похищенные пароли, токены, cookie, приватные ключи и документы могут превратить жизнь в настоящий квест по восстановлению контроля над аккаунтами и финансами. Не стоит доверять автоматическому заполнению всего и вся, хранить пароли в браузере и игнорировать сигналы о "подозрительном входе". А если проблема уже случилась — не теряйте время: отключайте устройство, проводите чистку, меняйте пароли и уведомляйте службы поддержки.

инфостилер похититель данных кража информации вредоносное ПО защита кибербезопасность
Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.
Ищем уязвимости в системе и новых подписчиков!

Первое — находим постоянно, второе — ждем вас

Эксплойтните кнопку подписки прямо сейчас
article-title

Дэни Хайперосов

Блог об OSINT, электронике и различных хакерских инструментах