Infostealer zamiast fałszywego logowania

TL;DR

Phishing nie zawsze musi prowadzić do fałszywej strony logowania. Coraz częściej celem jest uruchomienie infostealera, czyli złośliwego oprogramowania kradnącego dane zapisane na urządzeniu: hasła, cookies, tokeny sesji, dane autouzupełniania, pliki, portfele kryptowalut i informacje z przeglądarki.

Ta zmiana jest ważna, bo atakujący nie musi już czekać, aż użytkownik wpisze login i hasło w podstawionej stronie. Jeśli uda się skłonić go do pobrania programu, fałszywej aktualizacji, dodatku, cracka, pliku z reklamy albo skryptu z instrukcji, malware może zebrać dane po cichu i przekazać je dalej.

Dla firm oznacza to, że awareness nie może kończyć się na zasadzie: nie wpisuj hasła na podejrzanej stronie. Trzeba uczyć pracowników, kiedy nie pobierać pliku, kiedy nie uruchamiać polecenia, jak zgłosić podejrzane zachowanie urządzenia i dlaczego przejęcie sesji może być równie groźne jak wyłudzenie hasła.

Phishing nie musi już prosić o hasło

Klasyczny phishing wygląda znajomo: wiadomość podszywa się pod bank, kuriera, dostawcę SaaS albo dział IT i prowadzi do fałszywego formularza logowania. Użytkownik wpisuje dane, a atakujący próbuje użyć ich do przejęcia konta.

Ten model nadal działa. Nie zniknął i nie zniknie szybko. Zmienia się jednak ekonomia ataku. Jeśli organizacje coraz częściej stosują wieloskładnikowe uwierzytelnianie, czyli MFA, samo hasło traci część wartości. Przestępcy szukają więc danych, które pozwalają ominąć etap ponownego logowania: cookies, tokenów, aktywnych sesji i informacji zapisanych lokalnie.

Infostealer dobrze pasuje do tej potrzeby. Zamiast podstawiać formularz, atakujący próbuje doprowadzić do uruchomienia pliku. Po instalacji malware może działać w tle i zbierać dane bez widocznego ekranu logowania. Użytkownik może nie zauważyć momentu kradzieży, bo nie ma jednej wyraźnej czynności, którą łatwo zapamiętać jako błąd.

W praktyce phishing przenosi się z przeglądarki jako miejsca wpisywania hasła na całe urządzenie. To zmiana, którą muszą rozumieć zarówno użytkownicy, jak i zespoły IT, Security oraz SOC.

Dlaczego infostealery są atrakcyjne dla przestępców

Infostealer redukuje koszt ataku. Ofiara nie musi rozpoznać marki, otworzyć formularza i wpisać danych w odpowiednim momencie. Wystarczy, że uruchomi coś, co wygląda jak narzędzie, aktualizacja, dokument, instalator albo pomocniczy komponent.

Malwarebytes zwraca uwagę, że infostealery mogą docierać przez malvertising, czyli złośliwe reklamy, fałszywe aktualizacje przeglądarki, cracked software, game cheats, podejrzane strony pobierania i dodatki do przeglądarek. Te kanały są skuteczne, bo często zaczynają się od działania użytkownika, który czegoś szuka albo próbuje coś naprawić.

To jest istotna różnica psychologiczna. Gdy ktoś dostaje podejrzany e-mail, może włączyć tryb ostrożności. Gdy sam szuka programu, łatki, sterownika, konwertera albo narzędzia, ma poczucie kontroli. Atakujący wykorzystuje tę pewność: strona wygląda jak odpowiedź na potrzebę, nie jak przynęta.

Infostealery są też częścią szerszego modelu usługowego. Dane z jednego urządzenia mogą zostać sprzedane wielu kupującym: jedni użyją haseł do przejęcia kont, inni sesji do obejścia MFA, kolejni dostępu korporacyjnego do przygotowania Business Email Compromise, czyli oszustwa na korespondencję biznesową, albo ransomware.

Sesja bywa cenniejsza niż hasło

Wiele osób rozumie ryzyko kradzieży hasła. Mniej oczywiste jest ryzyko kradzieży cookies i tokenów sesji. Cookie to mały fragment danych zapisany przez przeglądarkę. Token sesji potwierdza, że użytkownik przeszedł już logowanie i może korzystać z usługi bez ponownego wpisywania hasła.

Jeżeli atakujący przejmie aktywną sesję, może próbować działać tak, jakby był już zalogowanym użytkownikiem. W zależności od usługi i zabezpieczeń może to ograniczyć skuteczność MFA, bo uwierzytelnianie zostało wykonane wcześniej.

To nie oznacza, że MFA przestaje mieć sens. Oznacza, że MFA jest jedną warstwą, a nie końcem tematu. Organizacja musi widzieć urządzenia, sesje, ryzykowne logowania, nietypowe lokalizacje, nowe metody uwierzytelniania, zmiany reguł pocztowych i dostęp do aplikacji SaaS po incydencie.

Z perspektywy użytkownika najważniejszy wniosek jest prosty: zapisane hasła, zapamiętane sesje i wygoda autologowania są częścią powierzchni ataku. Jeśli urządzenie zostało zainfekowane, problem nie kończy się na jednym pliku.

Polski kontekst: nie tylko pirackie programy

W Polsce infostealer może trafić do firmy przez bardzo zwyczajne scenariusze. Pracownik pobiera konwerter PDF, narzędzie do podpisu elektronicznego, sterownik drukarki, klienta VPN, program do faktur, rozszerzenie do przeglądarki albo aplikację do obsługi dokumentów od kontrahenta. Administrator szuka narzędzia diagnostycznego. Księgowość otwiera plik z rzekomą fakturą. Sprzedaż pobiera aplikację do wideokonferencji wskazaną przez klienta.

Nie każdy taki przypadek jest atakiem. Problem polega na tym, że codzienność pracy daje przestępcom idealne preteksty. Im bardziej organizacja polega na wielu aplikacjach, chmurze i pracy hybrydowej, tym większe znaczenie ma to, skąd użytkownicy pobierają narzędzia i jak szybko zgłaszają podejrzane sytuacje.

W firmach korzystających z Microsoft 365, Google Workspace, systemów CRM, HR, ERP i bankowości online infostealer może stać się bramą do większego incydentu. Kradzież sesji z przeglądarki pracownika może prowadzić do poczty, plików, komunikatora, kontaktów i danych klientów.

Dlatego ochrona przed infostealerami nie jest wyłącznie zadaniem antywirusa. To temat dla polityki instalacji oprogramowania, zarządzania urządzeniami, ograniczania uprawnień lokalnych i programu security awareness.

Co powinien zrobić użytkownik

Najważniejszy nawyk to nieuruchamianie plików tylko dlatego, że pasują do oczekiwanego zadania. Jeśli strona każe pobrać aktualizację przeglądarki, zainstalować dodatkowy komponent, wkleić polecenie do terminala albo wyłączyć zabezpieczenia, proces trzeba przerwać.

Programy potrzebne do pracy powinny pochodzić z oficjalnych stron producentów, sklepów aplikacji, menedżerów pakietów albo firmowego katalogu oprogramowania. W przypadku wątpliwości lepiej wysłać zgłoszenie do IT niż samodzielnie testować plik na służbowym urządzeniu.

Użytkownik powinien też traktować podejrzane zachowanie urządzenia jako sygnał, a nie wstydliwy błąd. Nietypowe okno, znikający instalator, nagłe ostrzeżenie przeglądarki, powiadomienie EDR, prośba o uruchomienie jako administrator albo dziwne przekierowanie po kliknięciu mogą być początkiem incydentu.

W testach phishingowych warto mierzyć właśnie ten moment. Czy pracownik zatrzyma się przed uruchomieniem pliku? Czy zgłosi podejrzaną stronę? Czy wie, że kliknięcie bez podania hasła nadal może być groźne?

Co powinny zrobić IT i Security

Pierwszy obszar to kontrola pobrań i uruchomień. Organizacja powinna wiedzieć, skąd użytkownicy pobierają pliki, jakie nowe procesy pojawiają się na stacjach i czy uruchomienia z katalogów Downloads, Temp albo profilu użytkownika odbiegają od normy.

Drugi obszar to ograniczenie skutków. Brak lokalnych uprawnień administratora nie zatrzyma każdego infostealera, ale ogranicza część łańcuchów ataku. Warto też ograniczać możliwość zapisywania haseł w przeglądarce dla kont wysokiego ryzyka oraz stosować menedżery haseł i polityki sesji dostosowane do ryzyka.

Trzeci obszar to detekcja po stronie tożsamości. Po potencjalnej infekcji trzeba patrzeć na logowania, nowe urządzenia, nietypowe lokalizacje, masowy dostęp do plików, tworzenie reguł pocztowych, dodawanie metod MFA i aktywność w aplikacjach SaaS. Infostealer może być pierwszym krokiem do przejęcia konta, nie końcem incydentu.

Czwarty obszar to procedura zgłoszeń. Pracownik musi mieć prostą ścieżkę: zgłaszam pobranie, nie kasuję pliku, nie ukrywam zdarzenia, czekam na instrukcję. To ważniejsze niż perfekcyjna definicja malware.

W testach phishingowych dla firm taki scenariusz pozwala sprawdzić, czy organizacja mierzy odporność procesu, a nie tylko współczynnik kliknięć.

Co zrobić, jeśli to już się stało

Jeżeli użytkownik pobrał plik, ale go nie uruchomił, nie powinien otwierać go ponownie w celu sprawdzenia. Plik należy zabezpieczyć zgodnie z procedurą, zgłosić do IT lub Security i sprawdzić, czy podobne pobrania pojawiły się u innych osób.

Jeżeli plik został uruchomiony, urządzenie trzeba potraktować jako potencjalnie skompromitowane. Należy przerwać pracę, odłączyć urządzenie od sieci zgodnie z procedurą, nie usuwać artefaktów i nie czyścić historii przed kontaktem z zespołem bezpieczeństwa.

Jeżeli na urządzeniu były zapisane hasła, aktywne sesje, dostęp do poczty, komunikatora, VPN, systemów SaaS, menedżera haseł albo narzędzi administracyjnych, potrzebna jest reakcja na poziomie tożsamości. Obejmuje ona zmianę haseł z zaufanego urządzenia, unieważnienie sesji, przegląd metod MFA, kontrolę logowań i sprawdzenie reguł pocztowych.

Jeżeli urządzenie należało do administratora, osoby z księgowości, HR, zarządu albo zespołu IT, zakres analizy powinien być szerszy. Infostealer na takim komputerze może dać dostęp do danych, które są cenne dużo bardziej niż sam laptop.

Najważniejsza zasada

Fałszywa strona logowania jest tylko jednym wariantem phishingu. Jeśli atakujący przekona użytkownika do uruchomienia pliku, może ukraść to, co użytkownik już ma zapisane na urządzeniu.

Dlatego skuteczna zasada brzmi: nie oceniaj ryzyka wyłącznie po tym, czy ktoś prosi o hasło. Oceń, czy proces prowadzi do pobrania, instalacji, uruchomienia polecenia albo nadania uprawnień. Tam coraz częściej zaczyna się właściwy atak.