Infostealer (также часто называемый просто Stealer) - это специализированный тип вредоносного программного обеспечения (malware), основная цель которого заключается в скрытом поиске, краже (stealing) и передаче злоумышленнику конфиденциальной информации с зараженного устройства. Стилеры фокусируются на сборе таких данных, как логины и пароли, данные банковских карт, файлы cookies браузеров, криптовалютные ключи, личные документы и системную информацию, нанося значительный финансовый и репутационный ущерб жертвам.
Суть, Цель и Терминология
Infostealer, широко известный в среде специалистов по безопасности и в криминальных кругах также под кратким названием Stealer (от англ. "to steal" - воровать), представляет собой категорию вредоносного ПО, созданную исключительно для несанкционированного сбора и эксфильтрации (кражи и передачи) конфиденциальных данных. Термин "Stealer" подчеркивает саму суть деятельности этого вредоноса - воровство информации. В отличие от вирусов, разрушающих систему, или программ-вымогателей, блокирующих доступ, инфостилер/стилер действует скрытно, как цифровой шпион, стремясь максимально долго оставаться незамеченным, чтобы собрать как можно больше ценной информации.
Механизм Действия
После проникновения на устройство (часто через фишинговые письма, взломанное ПО или уязвимости) стилер активируется и начинает методичное сканирование системы. Он ищет специфические файлы, данные приложений, хранилища браузеров и системные области, где обычно хранятся конфиденциальные сведения. Для сбора данных он использует различные техники, включая перехват ввода с клавиатуры (кейлоггинг), дамп памяти процессов, прямое чтение файлов конфигурации и баз данных браузеров или почтовых клиентов.
Цели Кражи
Главными целями инфостилеров/стилеров являются любые данные, представляющие ценность для злоумышленников. Это включает учетные данные (логины и пароли) для веб-сайтов (особенно банков, соцсетей, почты), корпоративных систем и игровых аккаунтов; финансовую информацию (номера, сроки действия и CVV банковских карт, данные онлайн-банкинга, ключи от криптовалютных кошельков); файлы cookies и сессионные токены браузеров, позволяющие перехватывать активные сессии без пароля; данные автозаполнения форм и историю посещений; содержимое буфера обмена; личные документы (сканы паспортов, договоры, фотографии); сообщения из мессенджеров; а также системную информацию об устройстве и установленном ПО.
Эксфильтрация и Использование
Похищенные данные автоматически упаковываются, часто шифруются и тайно передаются (экфильтрируются) на серверы, контролируемые злоумышленниками. Для передачи могут использоваться как стандартные интернет-протоколы (HTTP/HTTPS), так и замаскированные каналы связи (например, через легитимные облачные сервисы или командные каналы ботнета) для избежания обнаружения. Полученная информация используется напрямую для финансовых краж и мошенничества, несанкционированного доступа к аккаунтам и корпоративным сетям, шантажа, продажи крупными партиями на теневых форумах в даркнете (где они часто так и называются - "stealers") или для проведения более сложных целевых атак.
Последствия для Жертв
Жертва инфостилера/стилера сталкивается с серьезными рисками: прямыми финансовыми потерями из-за краж со счетов или использования карт; захватом аккаунтов в соцсетях, почте или играх; кражей цифровой идентичности для мошенничества; компрометацией корпоративных данных и утечкой коммерческой тайны (если заражено рабочее устройство); а также долгосрочными репутационными рисками.
