Реклама, АО «Позитив Текнолоджиз», ИНН 7718668887, 18+
Image

Практикум "Управление уязвимостями: от теории к практике"

Полный цикл выстраивания процесса управления уязвимостями
Успей записаться

Коварный похититель проник в 3,9 млн браузеров — и унёс 350 млн паролей

9164
инфостилеры вредоносное ПО утечка паролей cookies KELA
Коварный похититель проник в 3,9 млн браузеров — и унёс 350 млн паролей
инфостилеры вредоносное ПО утечка паролей cookies KELA

3,9 млн устройств заражены, хозяева до сих пор не знают.

image

Инфостилеры снова показали, насколько опасной может быть тихая кража данных. За прошлый год компания KELA насчитала более 3,9 млн уникальных заражённых устройств, с которых злоумышленники получили около 350 млн учётных данных.

Инфостилеры работают иначе, чем вымогатели. Вредоносная программа не блокирует экран, не шифрует файлы и обычно не показывает заметных признаков заражения. Главная задача такого ПО заключается в быстрой и незаметной выгрузке ценной информации: cookies браузера, логинов и паролей, данных из менеджеров паролей, локальных файлов, токенов доступа и других сведений, которые помогают преступникам входить в чужие аккаунты.

Масштаб проблемы хорошо виден по крупным утечкам. Ранее исследователи обнаружили базу на 16 млрд раскрытых учётных данных, которые, вероятно, собрали разные семейства инфостилеров. В новом отчёте KELA о киберпреступности в 2026 году инфостилеры также названы одной из заметных угроз.

Основной вклад в массовый сбор паролей дали несколько семейств вредоносного ПО. На Lumma пришлось 55% заражений, на Redline - 25%, на Vidar - 10%, на Acreed - 3,6%, на StealC - 3%. По словам главы KELA Дэвида Кармиэля, инфостилеры специально проектируют для тихой и короткой работы, поэтому пользователь часто не видит явных проблем на заражённом устройстве.

Больше всего рискуют пользователи Windows, но компьютеры Apple тоже не защищены от инфостилеров. KELA отмечает, что злоумышленники всё чаще атакуют macOS, потому что среди владельцев Apple много платёжеспособных пользователей и корпоративных сотрудников. Украденные браузерные пароли, токены облачных сервисов, криптокошельки, доступы к VPN, SaaS-сервисам и инструментам разработчиков хорошо продаются на подпольных площадках.

Заподозрить заражение можно по странной активности в аккаунтах. Опасными сигналами становятся неожиданные письма о сбросе пароля, входы из незнакомых стран или городов, новые активные сеансы, внезапный выход из сайтов, исчезновение сохранённых паролей и непонятные изменения в настройках браузера. Отдельного внимания требуют предупреждения от почты, банков, облачных сервисов и других онлайн-площадок.

Особенно неприятная особенность инфостилеров связана с кражей cookies. Если преступники получают действующий сессионный токен, вход в аккаунт может пройти без пароля и без запроса многофакторной аутентификации. Для пользователя ситуация выглядит странно: пароль не менялся, код подтверждения никто не запрашивал, а в списке активных сеансов появляется незнакомое устройство.

KELA также предупреждает о новом направлении атак: локальные среды ИИ-агентов. Инфостилеры могут начать искать рабочие каталоги, файлы памяти вроде MEMORY.md, сохранённые промпты, историю задач, состояния рабочих процессов, конфигурации с API-ключами, разрешениями инструментов и внешними интеграциями. В отдельных случаях под угрозой могут оказаться журналы рассуждений агента и рабочая память автоматизации. Для компаний такая кража опасна не только потерей паролей, но и раскрытием внутренних процессов, которые ИИ-инструменты используют при выполнении задач.