Скритата заплаха зад милиони компрометирани системи

Близо 4 милиона устройства – това е мащабът на инфекциите с infostealer зловреден софтуер, отчетен от KELA за една година. На пръв поглед това изглежда като поредната статистика, но реалността е значително по-сериозна.

Infostealer-ите са проектирани да бъдат невидими, бързи и ефективни – те не криптират файлове като рансъмуер, не блокират системи и не оставят очевидни следи. Вместо това тихо събират:

• потребителски имена и пароли
• бисквитки (cookies) на браузъра
• токени за достъп
• локални файлове и конфигурации

350 милиона компрометирани идентичности

Данните показват, че тези почти 4 милиона инфекции са довели до около 350 милиона компрометирани идентификационни данни. Това не е просто изтичане – това е индустриализирано събиране на достъп.

Още по-притеснително е, че големи бази с откраднати акаунти, включително масиви с десетки милиарди записи, често произхождат именно от такива кампании.

Infostealer-ите не разрушават – те подготвят следващата атака.

Най-активните семейства зловреден код

Анализът показва ясна концентрация на активност в няколко доминиращи семейства:

• Lumma – около 55% от инфекциите
• RedLine – 25%
• Vidar – 10%
• Acreed – 3.6%
• StealC – 3%

Тази концентрация показва, че киберпрестъпният пазар се консолидира около доказано ефективни инструменти.

Защо infostealer-ите са толкова опасни

Основната им сила е в тяхната стратегия:

• ниска „шумност“ – почти невидими за потребителя
• кратък живот – изпълняват задачата си и изчезват
• фокус върху данни – вместо разрушение

Това ги прави идеален инструмент за:

• последващи пробиви
• атаки с откраднати идентичности
• достъп до корпоративни системи

От Windows до macOS: разширяване на целите

Традиционно Windows системите са основна цел, но тенденцията се променя. С нарастването на използването на macOS в корпоративна среда, интересът на атакуващите също се измества.

Днес целите включват:

• облачни услуги (SaaS)
• VPN достъпи
• разработчици и техните среди
• крипто портфейли

Стойността на достъпа определя интереса на атакуващите.

Нов фронт: ИИ среди и локални агенти

Една от най-новите тенденции е насочването към среди, свързани с ИИ. Infostealer-ите започват да търсят:

• локални директории на ИИ агенти
• файлове с контекст (например MEMORY.md)
• кеширани заявки и истории
• API ключове и конфигурации

Това означава, че не само идентичността, но и логиката на работа на системите може да бъде компрометирана.

Как да разпознаем инфекция

Въпреки че са създадени да бъдат незабележими, има няколко индикатора:

• необичайни входове в акаунти
• логини от непознати локации
• активни сесии без обяснение
• внезапно излизане от сайтове
• липсващи запазени пароли
• промени в настройките на браузъра

Особено тревожен сигнал е, когато има достъп до акаунт без въвеждане на парола или MFA – често резултат от откраднати сесийни токени.

Hевидимата фаза на атаките

Infostealer-ите представляват първия етап от много по-голяма верига. Те не са крайна атака, а входна точка към следващата.

В свят, в който идентичността е новият периметър, защитата трябва да се фокусира върху:

• защита на сесиите
• мониторинг на поведението
• бърза реакция при аномалии

Защото най-опасните атаки вече не започват с шум – те започват в пълна тишина.