Cyberprzestępczy trend roku 2025: Infostealery

Infostealery ciężko nazwać cyber‑nowinką, bo są z nami od lat 70 ubiegłego stulecia. Tak, to nie jest pomyłka – pierwsze Keyloggery powstały w ZSRR i instalowano je po to, by śledziły ruchy głowicy drukującej maszyn do pisania w moskiewskiej ambasadzie Stanów Zjednoczonych. Dziś oczywiście mamy do czynienia głównie z infostealerami software’owymi, ale i w tym przypadku najstarszy taki program powstał w roku 1983, czyli na długo zanim Internet stał się naszą codziennością.

Co to jest infostealer?

Najprościej mówiąc, infostealer to rodzaj złośliwego oprogramowania stworzonego w celu wykradania poufnych informacji z systemu informatycznego. Wykradzione w ten sposób dane są następnie pakowane i wysyłane do cyberprzestępców. Jednym z rodzajów infostealerów jest wspomniany wcześniej Keylogger, ale ewolucja tego typu programów doprowadziła do tego, że dziś przechwytywanie danych wpisywanych na klawiaturze komputera jest zaledwie ułamkiem ich możliwości.

Obecnie infostealery są oferowane w ramach MaaS (malware‑as‑a‑service) i kosztują między 50 a 250 USD miesięcznie, więc korzystanie z nich nie wymaga ani wiedzy technicznej, ani ogromnych zasobów finansowych. W tym kontekście zupełnie nie dziwi ich rosnąca popularność.

Rodzaje infostealerów

Infostealery najprościej podzielić ze względu na sposób w jaki zbierają one dane z zainfekowanego urządzenia. Możemy zatem wyróżnić:

• Keyloggery – obecnie rzadko występują jako osobny malware, a zamiast tego stały się jedną z wbudowanych funkcji pozostałych typów infostealerów. Przechwytują dane wprowadzane z poziomu klawiatury, takie jak hasła i numery kart kredytowych.
• Infostealery przechwytujące formularze – przejmują dane z formularzy przed ich zaszyfrowaniem, np. dane logowania lub dane z formularza płatności.
• Infostealery przejmujące dane ze schowka – przechwytują, a często także podmieniają dane, które użytkownik skopiował, żeby móc je przekleić w inne miejsce, np. numery kont lub hasła. Dlatego warto zawsze upewnić się, że numer konta bankowego, na które przelewamy pieniądze, nie zmienił się między Ctrl+C i Ctrl+V.
• Infostealery ze zdalnym dostępem – najczęściej nazywane RAT (en. remote access trojan) dają atakującemu pełny zdalny dostęp do urządzenia, co pozwala mu przeszukać komputer pod kątem interesujących go informacji i plików.
• Infostealery wykonujące zrzuty ekranu – obchodzą zabezpieczenia uniemożliwiające kopiowanie tekstu i zamiast tego tworzą zrzuty ekranu w kluczowych momentach, takich jak logowanie.
• Infostealery przechwytujące sesje przeglądarki – przejmują pliki cookies i tokeny sesji, które pozwalają cyberprzestępcom dostać się do kont ofiary bez znajomości danych logowania (w niektórych przypadkach pozwalają obejść nawet MFA).
• Man‑in‑the‑Browser – jeden z najbardziej wyrafinowanych sposobów działania infostealerów. Pozwala na manipulację i przechwytywanie danych w czasie rzeczywistym, nawet jeśli są one wprowadzane na bezpiecznych stronach.
• Infostealery przeszukujące pliki – oprogramowanie przeczesujące komputer ofiary w poszukiwaniu konkretnych typów informacji, takich jak dane logowania, poufne dokumenty lub wiadomości z komunikatorów. Od czasu popularyzacji kryptowalut, taki malware jest często nastawiony na wyszukiwanie kluczy do portfeli kryptowalutowych (nawet tych zapisanych w formie zdjęcia).

Dane pozyskane przez infostealery są następnie przesyłane do przestępców przez żądania HTTP/HTTPS do kontrolowanych przez atakujących serwerów webowych, ładowane wprost na serwer FTP lub po prostu wysyłane mailem. Założenie jest takie, by nie zwracały one niczyjej uwagi nagłym zwiększeniem ruchu sieciowego.

Jak widzisz, sposób działania infostealerów jest bardzo wszechstronny i na bieżąco dopasowywany do ewolucji standardowych zabezpieczeń komputerów. Dlatego, nie popadając w nadmierny katastrofizm, warto zachować czujność. A o tym, w jaki sposób rozpowszechnia się infostealery dowiesz się już z kolejnego podrozdziału.

Sposoby dystrybucji Infostealerów

Tak jak większość pozostałych typów złośliwego oprogramowania, infostealery często znajdziemy w załącznikach i linkach maili phishingowych i na złośliwych stronach internetowych. Możemy też zainfekować urządzenie pobierając programy lub pliki z nieznanego źródła (i niestety nawet ściąganie aplikacji z oficjalnych sklepów nie daje już 100% pewności, że nie dostaniemy w gratisie malware’u). Natomiast swego rodzaju cyberzagrożeniową nowinką, która również rozprzestrzenia infostealery jest tzw. malvertising.

Malvertising, od połączenia słów malware i advertising, to reklamy, które są nośnikami złośliwego oprogramowania. Znajdziemy je zarówno na legalnych witrynach internetowych, jak i w mediach społecznościowych. W tych pierwszych, złośliwa reklama może zostać wstrzyknięta w kod strony (tu z pomocą hakerom przychodzą niezałatane podatności) lub być wynikiem braku dostatecznej kontroli treści reklamowych po stronie platformy marketingowej. Z kolei, jeśli chodzi o social media, to od pewnego czasu mamy do czynienia z plagą kradzieży kont firmowych i to właśnie te konta wykorzystywane są do publikowania złośliwych reklam.

To wszystko oznacza niestety, że dosyć łatwo zarazić się infostealerem, bo nawet jeśli nie otwieramy podejrzanych maili, ani stron i nie pobieramy programów z wątpliwych źródeł, to każdemu przynajmniej raz w życiu zdarzyło się przypadkowo kliknąć w reklamę (np. przy próbie jej zamknięcia).

Istnieje jeszcze jeden scenariusz związany z malvertisingiem, za pomocą którego rozprzestrzenia się popularny Lumma Stealer. W tym przypadku samo kliknięcie w reklamę nie jest niebezpieczne, ale za jej pomocą ofiara trafia na stronę z Fałszywą CAPTCHĄ, która w jednym z kroków weryfikacyjnych prosi o wciśniecie sekwencji skrótów klawiszowych. Dla mniej obeznanych z cyberbezpieczeństwem użytkowników, od lat przyzwyczajanych do coraz wymyślniejszych metod potwierdzania człowieczeństwa, taki sposób weryfikacji może nie budzić podejrzeń.

Ale to nie jedyny sposób rozsyłania Fałszywej CAPTCHY, co według badaczy świadczy o tym, że celem przestępców są nie tylko osoby prywatne, ale również firmy. Na przykład na potrzeby jednej z takich kampanii hakerzy opracowali metodę, dzięki której rozsyłają autentyczne alerty email GitHuba, i to w dodatku podpisane przez zespół ds. bezpieczeństwa.

Lumma Stealer atakuje wprawdzie tylko użytkowników Windowsa, ale osoby korzystające ze sprzętu Apple’a narażone są z kolei na Banshee Stealer, który w wielu kampaniach malware’owych występuje w parze z tym pierwszym. W dodatku oba infostealery stosują zaawansowane techniki zaciemniania, co powoduje, że są niezwykle trudne do wykrycia i późniejszej analizy.

Jakie ryzyka dla biznesu niesie zarażenie infostealerem?

Oczywiście zarażenie sprzętu infostealerem stanowi problem również w przypadku osób prywatnych, ale ryzyka biznesowe mogą być dużo rozleglejsze i zdecydowanie bardziej długotrwałe. I to bez względu na wielkość firmy.

1. Wycieki danych

Skoro infostealery kradną dane, to naturalnie pierwsze ryzyko nasuwające się w tym kontekście, to właśnie wycieki. Mogą one dotyczyć poufnych informacji i dokumentów samej organizacji, ale także danych osobowych klientów i kontrahentów, co w dalszej perspektywie wpłynie niechybnie na wizerunek firmy.

2. Straty finansowe

Poza stratami związanymi z przestojem biznesu na czas potrzebny do pozbycia się infostealera z systemów firmowych, straty finansowe mogą również wynikać z wykorzystania przez hakerów wykradzionych dostępów lub nawet z kolejnych ataków na osłabioną organizację, np. DDoS lub ransomware.

3. Kradzież tożsamości

W zależności od rodzaju danych przechowywanych na firmowym sprzęcie, przestępcy mogą wykorzystać je do kradzieży tożsamości pracowników, klientów, a nawet zarządu, co oczywiście może pociągnąć za sobą dodatkowe konsekwencje biznesowe.

4. Utrata poufnej dokumentacji

Infostealer może przeszukać pliki firmy pod kątem własności intelektualnej, kontraktów, tajemnic handlowych i innej poufnej dokumentacji, której utrata lub ujawnienie mogą przynieść biznesowi ogromne straty, nie tylko finansowe.

5. Oszustwa

Logi infostealera mogą dostarczyć hakerom wielu informacji, które następnie wykorzystać można np. w atakach spear‑phishingowych.

6. Dostęp do systemów informatycznych

Zainfekowanie systemów infostealerem może być zaledwie początkiem ataku zakrojonego na dużo większą skalę. Przestępcy mogą zyskać wiedzę o zabezpieczeniach systemu, ale także pozyskać dane do logowania lub przyjrzeć się strukturze finansowej i oszacować wysokość okupu, jakiego mogą zażądać od firmy.

7. Problemy prawne związane z niedostatecznym zabezpieczaniem danych (RODO)

Wykradzione dane klientów mogą spowodować konsekwencje prawno‑finansowe ze strony UODO i narazić firmę na pozwy cywilne.

Jak widzisz, malware tego typu może przysporzyć biznesowi wielu poważnych problemów, również w postaci przyszłych ataków. Dlatego kiedy następnym razem pomyślisz, że Twoja firma jest za mała, żeby mogła zainteresować hakerów, przypomnij sobie o infoslealerach i nie bagatelizuj znaczenia cyberbezpieczeństwa.

Jak ochronić sprzęt firmowy przed zarażeniem infostealerem?

Po przeczytaniu wcześniejszych akapitów zapewne domyślasz się, że nie ma 100% sposobu na uchronienie się przez infostealerami. Ale nie znaczy to, że nie warto się chociaż postarać, by jak najbardziej ograniczyć ryzyko zarażenia tym podstępnym malwarem.

 Jeśli chodzi o prewencję zakażeń sprzętu firmowego, to eksperci polecają podjęcie następujących kroków:

1. Regularne szkolenia z cyberbezpieczeństwa, ze szczególnym uwzględnieniem phishingu, które będą stale podnosić świadomość zagrożeń wśród pracowników.

2. Używanie przeglądarek biznesowych, które mają możliwości wprowadzania zabezpieczeń globalnych, obejmujących wszystkich pracowników.

3. Skrócenie sesji plików cookie, które ograniczy ryzyko ich skutecznego przechwycenia i wykorzystania przez hakerów.

4. Wyłączenie możliwości zapisywania haseł w przeglądarce i w zamian wprowadzenie zaufanego menedżera haseł, który pozwoli pracownikom na przechowywanie danych dostępowych w bezpieczny sposób.

5. Wprowadzenie wieloskładnikowej weryfikacji do firmowych systemów, najlepiej w oparciu o klucze sprzętowe. Jeśli nie zdecydujesz się na zaopatrzenie w fizyczne klucze wszystkich pracowników, rozważ ich wdrożenie przynajmniej dla osób z najwyższymi uprawnieniami dostępu.

6. Ciągły monitoring systemów, który szybko wykryje każdą anomalię w firmowej infrastrukturze.

7. Monitorowanie wycieków haseł, które pozwoli na szybki ich reset, gdyby okazało się, że w wycieku znajdują się dane dostępowe z firmowych baz danych.

Większość z powyższych to zabezpieczenia stosunkowo niedrogie, zwłaszcza jeśli weźmiesz pod uwagę, ile może Cię kosztować kradzież danych i kolejne ataki, do których mogą doprowadzić dane pozyskane przez infostealera.

Podsumowanie

Czy infostealery naprawdę staną się „trendem” 2025 roku? Wiele raportów wskazuje na to, że tak właśnie będzie. Jednak bez względu na modę panującą wśród przestępców, dla każdego biznesu online istotne jest wprowadzenie odpowiednich procedur cyberbezpieczeństwa, które uchronią firmę zarówno przed kosztami finansowymi, jak i wizerunkowymi. Jeśli szukasz ekspertów mogących wesprzeć Cię w podniesieniu bezpieczeństwa Twojej firmy, koniecznie sprawdź ofertę Centurii. Nasi specjaliści zaproponują rozwiązania dopasowane do wymagań Twojej infrastruktury i doradzą, na co jeszcze warto zwrócić uwagę.