infostealer

Близо 26 милиона устройства с Windows са били компрометирани чрез Infostealer от началото на 2023 до края на 2024. Действителният брой е още по-голям – 20 и 25 милиона през 2024 и между 18 и 22 милиона за 2023.

Само пробивите в Windows групата е довело до изтичане на повече от 2 милиона уникални данни за банкови карти, според ново изследване на Kaspersky. Всяка 14-та такава инфекция е довела до кражба на данни за банкови карти. А те са само част от информацията, която Infostealer са проектирани да крадат.

Организациите трябва проактивно да наблюдават пазарите в Dark Web и да откриват компрометирани акаунти, преди те да засегнат служителите или клиентите им. Но има и други мерки, които трябва да бъдат предприети, ако вече имате съмнения за пробив.

Корпоративни акаунти се делят на три категории:

1. В домейна на Active Directory или административни такива на корпоративни системи.
2. На служители на трети страни.
3. Клиентски.

Категория 1

• проверете за наличието на потребител с посоченото име за вход и стартирайте съществуващите в организацията процедури за разследване и реакция, ако то бъде потвърдено;
• направете антивирусно сканиране на всички потребителски устройства и корпоративни машини, които са засегнати. Трябва да се уверите, че сте премахнали всеки зловреден софтуер, който е открит по време на процеса;
• задължително променете паролата на всички компрометирани акаунти с дълги и сложни комбинации;
• анализирайте дневника за всякакви необичайни дейности, включително неуспешни влизания и опити за увеличаване на потребителските привилегии;
• активирайте MFA във всички корпоративни системи, където това все още не е неправено.

Категория 2

• проверете за наличието на потребител с посоченото име за вход. Той трябва да бъде информиране за пробития акаунт;
• той трябва да извърши пълно антивирусно сканиране на засегнатите устройства, потребителски и корпоративни, като премахне всеки открит зловреден софтуер.

Категория 3:

• проверете дали акаунтът съществува и определете дали принадлежи на клиент или на служител. Засегнатият потребител трябва да бъде информиран за компрометирането;
• задължителна сменете паролата с дълга и сложна комбинация;
• проверете дневниците за неоторизиран достъп или необичайна дейност;
• клиентът трябва да извърши антивирусна проверка на своите устройства и да активира MFA за засегнатото приложение.

Във всички случаи, с изключение на последния, съществуващите платформи за защита на крайни точки са в състояние да откриват, смекчават и премахват Infostealer.

През 2024 Infostealer софтуерите са се превърнали в един от „най-значимите първоначални вектори за атака“. Според израелската компания за киберсигурност Kela те са свързани с компрометирането на най-малко 330 милиона креденшъли.

За да се случи това, нападателите са пробили защитата на поне 4,3 милиона машини. И двете цифри представляват леко увеличение спрямо 2023 г., но посоката на движение е постоянно възходяща.

Компрометираните креденшъли осигуряват достъп до редица чувствителни корпоративни услуги – облачни решения, CMS, електронна поща и т.н. Трите водещи щама на infostealer – Lumma, StealC и RedLine – са отговорни за над 75% от заразените машини.

За да не станете част от тази статистика:

• инсталирайте антивирусен софтуер и редовно го актуализирайте;
• активирайте MFA;
• бъдете внимателни с фишинг имейли – не отваряйте прикачени файлове или линкове от непознати източници и проверявайте внимателно адреса на подателя;
• актуализирайте редовно софтуерите и OS на вашите устройства, за да намалите риска от уязвимости;
• използвайте firewall и инструменти за мониторинг на трафика, за да можете да засечете подозрителна активност.

Киберпрестъпниците се възползват от нарастващата популярност на DeepSeek, за да популяризират два зловредни софтуера от типа infostealer в Python Package Index (PyPI). Те са представяни като инструменти за разработчици за платформата за изкуствен интелект.

Техните наименования са „deepseeek“ и „deepseekai“ по името на китайския разработчик на модела R1, който наскоро отбеляза стремително нарастване на популярността. Пакетите са качени от акаунт, създаден през юни 2023, който няма предишна активност.

След като се изпълни на машината на разработчика, зловредният полезен товар краде потребителски и системни данни, API ключове и токени за достъп до инфраструктурата. Нападателите биха могли да ги използват за достъп до облачни услуги, бази данни и други защитени ресурси, използвани от него.

Deepseeek 0.0.8 и deepseekai 0.0.8 са качени в PyPI на 29 януари 2025 г. Оттогава са изтеглени от 222 разработчици от различни държави.

Потребителите, които са използвали тези пакети, трябва незабавно да променят своите API ключове, токени за удостоверяване и пароли. Всички облачни услуги, чиито идентификационни данни са били откраднати, също трябва да бъдат проверени, за да се потвърди, че не са били компрометирани.

Киберпрестъпници са създали фалшив proof-of-concept (PoC) експлойт на критична уязвимост на Microsoft. Той е предназначен да подмами изследователите по сигурността да изтеглят и стартират Infostealer.

Според Trend Micro фалшивият PoC е свързан с критична уязвимост в Lightweight Directory Access Protocol (LDAP) в Windows. Пач за нея е публикуван в рамките на Patch Tuesday от декември 2024 г.

Хакерите са създали злонамерено хранилище, съдържащо фалшивия PoC, който при изпълнение води до ексфилтриране на чувствителна компютърна и мрежова информация. Той краде списъци с процеси и директории, мрежови IP адреси, инсталирани актуализации и друга информация.

PoC експлойтите се използват от общността за киберсигурност за идентифициране на уязвимости и потенциални заплахи за различни софтуери. Те дават възможност на специалистите да предприемат действия за справяне със заплахите.

За да не станете жертва на този Infostealer:

• изтегляйте код и библиотеки само от официални и надеждни хранилища;
• бъдете предпазливи към подозрително съдържание, изглеждащо неуместно за инструмента или приложението, за което се представя;
• ако е възможно, потвърдете самоличността на собственика на хранилището;
• преглеждайте историята на последните промени в него за аномалии или признаци на злонамерена дейност;
• бъдете предпазливи към хранилища с малко сътрудници, особено ако те твърдят, че е широко използвано;
• потърсете отзиви или дискусии за хранилищата, за да идентифицирате потенциални червени флагове.