Модерните infostealer заплахи отдавна са надраснали класическата кражба на потребителски имена и пароли. През последната година се наблюдава рязко ускоряване на кампаниите, които атакуват без особена разлика както корпоративни служители, така и обикновени потребители на лични устройства. Резултатът е мащабно изтичане на идентификационни и поведенчески данни, които продължават да носят стойност за атакуващите дълго след първоначалната инфекция.

Какво показват реалните данни от infostealer кампании

Изследователи от Specops анализират над 90 000 изтекли infostealer дъмпа, съдържащи повече от 800 милиона реда данни, събрани по време на активни компрометации. Наборите включват не само креденшъли, но и браузърни бисквитки, история на сърфиране, активни сесии и локални системни файлове.

Ключовият извод е тревожен – infostealer дъмповете позволяват на атакуващите да свържат технически артефакти с реални хора, организации и поведенчески модели. Това превръща една-единствена инфекция в дългосрочен актив за киберпрестъпния пазар.

Когато откраднатите пароли се превърнат в самоличност

Най-сериозният риск идва от консолидацията на данни – повторно използвани потребителски имена, Windows акаунти, файлове в потребителски директории и активни сесии се обединяват около един реален човек. Така атакуващите могат да идентифицират кой е потребителят, къде работи и каква е потенциалната му роля.

Границата между лична и служебна идентичност практически се срива. Компрометация на домашно устройство често се превръща в отправна точка за атаки срещу корпоративни среди, особено при наличие на повторна употреба на пароли.

Какви услуги са най-често засегнати

В анализираните дъмпове често присъстват корпоративни и професионални платформи като LinkedIn, GitHub, Microsoft Teams и Outlook. Само LinkedIn фигурира с близо 900 000 записа, предоставяйки директна връзка между откраднати данни и реална професионална идентичност.

Наред с това масово се срещат и лични платформи – YouTube, Facebook и други социални мрежи, които улесняват потвърждаването на самоличността и корелацията между акаунти.

Защо infostealer атаките остават толкова ефективни

Причините не са екзотични – инсталиране на софтуер от нелегитимни източници, съхранение на пароли в браузъра и повторна употреба на идентични креденшъли. Браузърните хранилища осигуряват незабавен достъп до чувствителни данни, което многократно увеличава щетите от една инфекция.

Намаляване на риска след компрометация

След като данните вече циркулират, фокусът се измества от превенция към ограничаване на последиците. Според Verizon откраднати креденшъли участват в 44,7% от всички пробиви.

Прекъсването на повторната употреба на пароли е критично.