Инфокрад

В компьютерной сфере инфокрады представляют собой разновидность вредоносного программного обеспечения , созданного для взлома компьютерных систем с целью кражи конфиденциальной информации, включая данные для входа в систему , файлы cookie сеанса , финансовую информацию и личную информацию . Украденная информация затем упаковывается, отправляется злоумышленнику и часто продается на незаконных рынках другим субъектам угроз .

Инфокрады обычно состоят из двух частей: бот-фреймворка, который позволяет злоумышленнику настраивать поведение инфокрада на компьютере жертвы, и панели управления, которая принимает форму сервера, на который инфокрады отправляют данные. Инфокрады могут проникнуть в компьютер или устройство с помощью таких методов, как фишинговые атаки, зараженные веб-сайты и загрузка вредоносного программного обеспечения, включая моды для видеоигр и пиратское программное обеспечение . После загрузки инфокрады собирают конфиденциальную информацию о компьютере пользователя, прежде чем отправить данные обратно на сервер.

Инфокрады обычно распространяются по модели «вредоносное ПО как услуга» (MaaS). Разработчики разрешают другим сторонам использовать их инфокрады за абонентскую плату. Это позволяет людям с разным уровнем технических знаний использовать инфокрад. Функциональность инфокрадов может различаться: некоторые из них ориентированы на сбор данных , а другие предлагают удаленный доступ , позволяющий запускать дополнительные вредоносные программы. Украденные данные могут затем использоваться в целевых фишинговых кампаниях для других кибератак, таких как внедрение программ-вымогателей .

Распространение поставщиков информационных воров как услуг способствовало увеличению числа инцидентов кибербезопасности с участием информационных воров. Количество украденных журналов данных , продаваемых на форуме по киберпреступности «Русский рынок» , значительно возросло с 2022 года. Согласно исследованию «Лаборатории Касперского », проведенному в середине 2023 года, 24% вредоносных программ, предлагаемых в качестве услуги, являются информационными ворами.

Обзор

В киберпреступности кража учетных данных — это хорошо известный механизм, с помощью которого злоумышленники крадут личную информацию, такую как имена пользователей , пароли или файлы cookie , чтобы незаконно получить доступ к онлайн-аккаунтам и компьютеру жертвы. Это преступление обычно разворачивается в четыре этапа, первый из которых — получение украденных учетных данных. Инфостилеры — это особый тип вредоносного ПО , предназначенный для этой начальной стадии. Обычно они состоят из двух отдельных частей: платформы бота и сервера управления и контроля , часто известного как панель управления или интерфейс. ^{[ 1 ]}

Платформа бота включает в себя сборщик, который позволяет злоумышленнику настроить, как инфокрад будет вести себя на компьютере пользователя и какую информацию он будет красть. Интерфейс управления, обычно написанный на традиционных веб-разработки языках , таких как PHP , HTML и JavaScript. ^{[ 2 ]} обычно размещается в коммерческой облачной инфраструктуре . ^{[ 3 ]} Интерфейс управления в первую очередь функционирует как веб-сервер , на который похититель отправляет конфиденциальную информацию. Интерфейс также предоставляет злоумышленнику информацию о состоянии развернутых инфокрадов и позволяет злоумышленнику контролировать поведение инфокрадов. ^{[ 2 ]}

Распространение и использование

Инфокрады обычно распространяются по модели «вредоносное ПО как услуга» (MaaS), что позволяет лицам с различными техническими знаниями развертывать эти вредоносные программы. В рамках этой модели обычно выделяются три отдельные группы: разработчики, поставщики услуг вредоносного ПО и операторы. Код инфосталира пишут разработчики, наиболее технически подготовленные. Поставщики услуг вредоносного ПО приобретают лицензии на вредоносное ПО и предлагают его в качестве услуги другим киберпреступникам. Операторы, которые в зависимости от уровня квалификации могут быть либо самими разработчиками, либо поставщиками услуг, используют эти услуги для кражи учетных данных . ^{[ 1 ]}

После приобретения вредоносного ПО оно распространяется на целевые компьютеры с использованием различных методов социальной инженерии . Обычно используется фишинг , в том числе целевые фишинговые кампании, нацеленные на конкретных жертв. Инфокрады обычно встраиваются во вложения электронной почты или во вредоносные ссылки, ведущие на веб-сайты, выполняющие попутную загрузку. ^{[ 4 ]}^{[ 2 ]} Кроме того, они часто поставляются в комплекте со скомпрометированными или вредоносными расширениями браузера , зараженными игровыми модами , а также пиратским или иным образом скомпрометированным программным обеспечением. ^{[ 4 ]} После того как программа-стилер загружена и запущена жертвой, она связывается с серверами управления и контроля злоумышленника , позволяя злоумышленнику украсть информацию с компьютера пользователя. другие вредоносные программы, например программы-вымогатели . Хотя большинство информационных воров в первую очередь нацелены на учетные данные, некоторые из них также позволяют злоумышленникам удаленно внедрять и запускать на компьютере жертвы ^{[ 1 ]}^{[ 5 ]}

Учетные данные, полученные в результате атак с помощью информационных воров, часто распространяются в виде журналов или дампов учетных данных, обычно публикуются на сайтах вставки, таких как Pastebin , где киберпреступники могут предлагать бесплатные образцы, или продаются оптом на подпольных хакерских форумах, часто за сумму всего лишь 10 долларов. ^{[ 6 ]}^{[ 7 ]} Покупатели этих украденных учетных данных обычно входят в систему, чтобы оценить их ценность, особенно в поисках учетных данных, связанных с финансовыми услугами или связанных с другими учетными данными с похожими шаблонами, поскольку они особенно ценны. ^{[ 8 ]} Ценные учетные данные часто перепродаются другим киберпреступникам по более высоким ценам. ^{[ 9 ]} которые затем могут использовать их для различных преступлений, включая финансовое мошенничество , ^{[ 10 ]} интеграция учетных данных в зомби-сети и операции по повышению репутации ^{[ 10 ]} или в качестве плацдарма для более изощренных атак, таких как мошенничество в бизнесе, распространение программ-вымогателей или проведение государственного шпионажа. ^{[ 11 ]}^{[ 6 ]} Кроме того, некоторые киберпреступники используют украденные учетные данные для атак с помощью социальной инженерии , выдавая себя за первоначального владельца, заявляя, что они стали жертвой преступления, и вымогая деньги у контактов жертвы. ^{[ 12 ]}^{[ 13 ]} Многие покупатели этих украденных учетных данных принимают меры предосторожности для сохранения доступа в течение более длительных периодов времени, например, меняют пароли, используют сети Tor для сокрытия своего местоположения, что помогает избежать обнаружения службами, которые в противном случае могли бы идентифицировать и отключить украденные учетные данные. ^{[ 12 ]}^{[ 14 ]}

Функции

злоумышленника Основная функция информационных воров — передать конфиденциальную информацию о жертве на серверы управления и контроля . Точный тип данных, которые будут отфильтрованы, будет зависеть от функций кражи данных, включенных оператором, и конкретного варианта используемого информационного вора. ^{[ 15 ]} Однако большинство информационных воров содержат функции для сбора разнообразной информации об операционной системе хоста, системных настройках и профилях пользователей. Некоторые более продвинутые программы-похитители информации включают в себя возможность внедрения вторичного вредоносного ПО, такого как трояны удаленного доступа и программы-вымогатели . ^{[ 2 ]}

В 2009 году исследователи из команды Symantec Rapid Response опубликовали технический анализ информационного вора Zeus , одного из первых созданных информационных воров. ^{[ 16 ]} Они обнаружили, что вредоносное ПО автоматически похищает все данные, хранящиеся в защищенном хранилище компьютера (которое обычно используется Internet Explorer для хранения паролей), и пытается перехватить любые пароли, отправленные на компьютер по протоколам POP3 и FTP . В дополнение к этому вредоносное ПО позволило исследователям определить набор файлов конфигурации, чтобы указать список веб-инъекций, которые необходимо выполнить на компьютере пользователя, а также еще один файл конфигурации, который контролировал, какие веб- URL-адреса будет отслеживать вредоносное ПО. Другая дополнительная конфигурация также позволила исследователям определить набор правил, которые можно было использовать для проверки того, содержат ли дополнительные HTTP- запросы пароли или другую конфиденциальную информацию. ^{[ 17 ]}

Совсем недавно, в 2020 году, исследователи из Технологического университета Эйндховена провели исследование информации, доступной для продажи на подпольном черном рынке учетных данных impaas.ru. В рамках своего исследования им удалось воспроизвести работу версии информационного вора AZORult . Среди функций, обнаруженных исследователями, был конструктор, который позволял операторам определять, какие данные будут украдены. пользователя Исследователи также обнаружили доказательства наличия плагинов, которые похищали историю просмотров , настраиваемого механизма на основе регулярных выражений , который позволяет злоумышленнику получать произвольные файлы с компьютера пользователя, модуля извлечения паролей браузера, модуля для извлечения истории Skype и модуля для поиска и извлечь файлы криптовалютного кошелька. ^{[ 15 ]}

Исследователи также обнаружили, что данные, которые чаще всего крадут с помощью инфокрадов AZORult и продают на черном рынке, можно разделить на три основных типа: отпечатки пальцев, файлы cookie и ресурсы. Отпечатки пальцев представляли собой идентификаторы, которые были созданы в результате исследования различных функций, доступных в браузере. Они не были привязаны к конкретной службе, но считались уникальными идентификаторами браузеров пользователя. Файлы cookie позволяли покупателям перехватить сеанс браузера жертвы , внедрив его в среду браузера. Ресурсы относятся к файлам, связанным с браузером, найденным в операционной системе пользователя, например файлам хранения паролей. ^{[ 18 ]}

Экономика и влияние

Организация операций по краже информации становится все более доступной в связи с распространением предприятий, предлагающих воровство как услугу, что значительно снизило финансовые и технические барьеры. Это позволяет даже менее опытным киберпреступникам участвовать в такой деятельности. ^{[ 2 ]} В статье 2023 года исследователи из Технологического института Джорджии отметили, что рынок хостинговых воров чрезвычайно зрелый и высококонкурентный: некоторые операторы предлагают установить инфокрады всего за 12 долларов. ^{[ 19 ]} Для поставщиков услуг, занимающихся этими воровскими операциями, этот бизнес также очень прибыльен. По оценкам исследователей, типичный оператор информационного вора несет лишь несколько разовых затрат: лицензию на использование информационного вора, полученную от разработчика вредоносного ПО, и плату за регистрацию домена, используемого для размещения управляющего сервера . Основные текущие затраты, которые несут эти операторы, — это расходы, связанные с размещением серверов. На основе этих расчетов исследователи пришли к выводу, что бизнес-модель «стилер как услуга» чрезвычайно прибыльна: многие операторы достигают рентабельности более 90%, а доходы исчисляются тысячами. ^{[ 20 ]}

Из-за их чрезвычайной прибыльности и доступности количество инцидентов в области кибербезопасности, в которых участвуют инфокрады, растет. ^{[ 6 ]} Постпандемический , когда компании предоставляют сотрудникам доступ к корпоративным сервисам на их домашних компьютерах , переход к удаленной и гибридной работе также был назван одной из причин повышения эффективности информационных воров. ^{[ 21 ]}^{[ 6 ]} В 2023 году исследование Secureworks обнаружило, что количество журналов информационных воров — данных, украденных с каждого компьютера — продаваемых на российском рынке, крупнейшем подпольном рынке, увеличилось с 2 миллионов до 5 миллионов журналов с июня 2022 года по февраль 2023 года. ^{[ 21 ]}По данным исследования «Лаборатории Касперского », проведенного в середине 2023 года, 24% вредоносных программ, предлагаемых в качестве услуги, являются информационными ворами. ^{[ 22 ]}

Ссылки

Цитаты

^ Jump up to: ^а ^б ^с Авгетидис и др. 2023 , стр. 5308
^ Jump up to: ^а ^б ^с ^д ^и Авгетидис и др. 2023 , стр. 5308–5309
^ Авгетидис и др. 2023 , стр. 5314, 5319
^ Jump up to: ^а ^б Нурми, Ниемеля и Брамли 2023 , с. 1
^ Райан 2021 , с. 76
^ Jump up to: ^а ^б ^с ^д Ньюман 2024
^ Нурми, Ниемеля и Брамли, 2023 , с. 2
^ Нурми, Ниемеля и Брамли, 2023 , с. 6
^ Нурми, Ниемеля и Брамли, 2023 , с. 7
^ Jump up to: ^а ^б Нурми, Ниемеля и Брамли 2023 , с. 8
^ Манкастер 2023
^ Jump up to: ^а ^б Онаолапо, Мариконти и Стрингини, 2016 , с. 65,70,76
^ Бурштейн и др. 2014 , с. 353.
^ Бурштейн и др. 2014 , с. 353.
^ Jump up to: ^а ^б Кампобассо и Аллоди 2020 , стр. 1669 г.
^ Грамматикакис и др. 2021 , стр. 121
^ Николас и Чиен, 2009 , стр. 3–4.
^ Кампобассо и Аллоди 2020 , стр. 1669–1670 гг.
^ Авгетидис и др. 2023 , с. 5309
^ Авгетидис и др. 2023 , с. 5318
^ Jump up to: ^а ^б Хендери 2023
^ Лион 2024

Источники

Хендери, Саймон (17 мая 2023 г.). «Кража журналов данных становится все более популярной по мере того, как инфокрады набирают популярность среди киберпреступников» . Журнал СК . Архивировано из оригинала 17 октября 2023 г. Проверено 18 июля 2024 г.
Лайонс, Джессика (29 февраля 2024 г.). «Банды программ-вымогателей обращают внимание на информационных воров, так почему бы и нет?» . Регистр . Проверено 17 августа 2024 г.
Ньюман, Лили Хэй (29 июля 2024 г.). «Как инфокрады украли пароли мира» . Проводной . ISSN 1059-1028 . Проверено 13 августа 2024 г.
Манкастер, Фил (9 февраля 2023 г.). «Обнаружен новый похититель информации: Россия готовится к новому наступлению» . Журнал Инфобезопасность . Проверено 13 августа 2024 г.
Авгетидис, Афанасий; Альрави, Омар; Валакужи, Кевин; Левер, Чарльз; Бербедж, Пол; Керомитис, Ангелос Д.; Монроуз, Фабиан; Антонакакис, Манос (2023). «За воротами: эмпирический анализ {HTTP-управляемых} похитителей паролей и операторов» . Безопасность USENIX : 5307–5324. ISBN 978-1-939133-37-3 .
Николя, Фальер; Чиен, Эрик (2009). «Зевс: Король ботов» (PDF) . Симантек . Архивировано из оригинала (PDF) 10 января 2017 г.
Кампобассо, Микеле; Аллоди, Лука (30 октября 2020 г.). «Выдача себя за другое лицо как услуга: характеристика развивающейся криминальной инфраструктуры для выдачи себя за пользователя в больших масштабах» . CCS '20: Материалы конференции ACM SIGSAC 2020 года по компьютерной и коммуникационной безопасности . АКМ: 1665–1680. arXiv : 2009.04344 . дои : 10.1145/3372297.3417892 . ISBN 978-1-4503-7089-9 .
Нурми, Юха; Ниемеля, Микко; Брамли, Билли Боб (29 августа 2023 г.). «Финансы и операции с вредоносным ПО: основанное на данных исследование цепочки создания стоимости для инфекций и взломанного доступа» . ARES '23: Материалы 18-й Международной конференции по доступности, надежности и безопасности . АСМ: 1–12. arXiv : 2306.15726 . дои : 10.1145/3600160.3605047 . ISBN 979-8-4007-0772-8 .
Райан, Мэтью (2021 г.), Райан, Мэтью (редактор), «Примеры использования программ-вымогателей» , Революция программ-вымогателей: рост огромной киберугрозы , Cham: Springer International Publishing, стр. 65–91, doi : 10.1007/978- 3-030-66583-8_5 , ISBN 978-3-030-66583-8 , получено 13 августа 2024 г.
Бурштейн, Эли; Бенко, Борбала; Марголис, Дэниел; Петрашек, Тадек; Арчер, Энди; Акино, Аллан; Пициллидис, Андреас; Сэвидж, Стефан (5 ноября 2014 г.). «Ручное мошенничество и вымогательство: реальный взлом учетных записей вручную» . IMC '14: Материалы конференции 2014 г. по измерениям в Интернете . АКМ: 347–358. дои : 10.1145/2663716.2663749 . ISBN 978-1-4503-3213-2 .
Онаолапо, Иеремия; Мариконти, Энрико; Стрингини, Джанлука (14 ноября 2016 г.). «Что происходит после того, как вас арестовали: понимание использования утекших учетных данных веб-почты в дикой природе» . IMC '16: Материалы конференции по интернет-измерениям 2016 г. . АКМ: 65–79. дои : 10.1145/2987443.2987475 . ISBN 978-1-4503-4526-2 .
Грамматикакис, Константинос П.; Куфос, Иоаннис; Колокотронис, Николай; Василакис, Костас; Шиалес, Ставрос (26 июля 2021 г.). «Понимание и борьба с банковскими троянами: от Зевса до Emotet» . Международная конференция IEEE по кибербезопасности и устойчивости (CSR) 2021 года . ИИЭР: 121–128. arXiv : 2109.01610 . дои : 10.1109/CSR51186.2021.9527960 . ISBN 978-1-6654-0285-9 .

[usenix5308-1] Jump up to: ^а ^б ^с Авгетидис и др. 2023 , стр. 5308

[usenix5308-5309-2] Jump up to: ^а ^б ^с ^д ^и Авгетидис и др. 2023 , стр. 5308–5309

[3] Авгетидис и др. 2023 , стр. 5314, 5319

[finance1-4] Jump up to: ^а ^б Нурми, Ниемеля и Брамли 2023 , с. 1

[ryan-5] Райан 2021 , с. 76

[wired-6] Jump up to: ^а ^б ^с ^д Ньюман 2024

[finance2-7] Нурми, Ниемеля и Брамли, 2023 , с. 2

[finance6-8] Нурми, Ниемеля и Брамли, 2023 , с. 6

[finance7-9] Нурми, Ниемеля и Брамли, 2023 , с. 7

[finance8-10] Jump up to: ^а ^б Нурми, Ниемеля и Брамли 2023 , с. 8

[11] Манкастер 2023

[what_happen-12] Jump up to: ^а ^б Онаолапо, Мариконти и Стрингини, 2016 , с. 65,70,76

[13] Бурштейн и др. 2014 , с. 353.

[14] Бурштейн и др. 2014 , с. 353.

[impaas1669-15] Jump up to: ^а ^б Кампобассо и Аллоди 2020 , стр. 1669 г.

[16] Грамматикакис и др. 2021 , стр. 121

[symantec-17] Николас и Чиен, 2009 , стр. 3–4.

[impaas1669-70-18] Кампобассо и Аллоди 2020 , стр. 1669–1670 гг.

[usenix5309-19] Авгетидис и др. 2023 , с. 5309

[usenix5318-20] Авгетидис и др. 2023 , с. 5318

[scmedia-21] Jump up to: ^а ^б Хендери 2023

[register-22] Лион 2024

[ 1 ]

[ 2 ]

[ 3 ]

[ 4 ]

[ 5 ]

[ 6 ]

[ 7 ]

[ 8 ]

[ 9 ]

[ 10 ]

[ 11 ]

[ 12 ]

[ 13 ]

[ 14 ]

[ 15 ]

[ 16 ]

[ 17 ]

[ 18 ]

[ 19 ]

[ 20 ]

[ 21 ]

[ 22 ]

v т и вредоносного ПО Темы
Infectious malware	Comparison of computer viruses Computer virus Computer worm List of computer worms Timeline of computer viruses and worms
Concealment	Backdoor Clickjacking Man-in-the-browser Man-in-the-middle Rootkit Trojan horse Zombie computer
Malware for profit	Adware Botnet Crimeware Fleeceware Form grabbing Fraudulent dialer Infostealer Keystroke logging Malbot Privacy-invasive software Ransomware Rogue security software Scareware Spyware Web threats
By operating system	Android malware Classic Mac OS viruses iOS malware Linux malware MacOS malware Macro virus Mobile malware Palm OS viruses HyperCard viruses
Protection	Anti-keylogger Antivirus software Browser security Data loss prevention software Defensive computing Firewall Internet security Intrusion detection system Mobile security Network security
Countermeasures	Computer and network surveillance Honeypot Operation: Bot Roast

v т и Распространение программного обеспечения
Licenses	Beerware Floating licensing Free and open-source Free Open source Freely redistributable License-free Proprietary Public domain Source-available
Compensation models	Adware Commercial software Retail software Crippleware Crowdfunding Freemium Freeware Pay what you want Careware Donationware Open-core model Postcardware Shareware Nagware Trialware
Delivery methods	Digital distribution File sharing On-premises Pre-installed Product bundling Retail software Sneakernet Software as a service
Deceptive and/or illicit	Unwanted software bundling Malware Infostealer Ransomware Spyware Trojan horse Worm Scareware Shovelware Vaporware list
Software release life cycle	Abandonware End-of-life Long-term support Software maintenance Software maintainer Software publisher
Copy protection	Digital rights management Software protection dongle License manager Product activation Product key Software copyright Software license server Software patent Torrent poisoning

v т и Информационная безопасность
Related security categories	Computer security Automotive security Cybercrime Cybersex trafficking Computer fraud Cybergeddon Cyberterrorism Cyberwarfare Electromagnetic warfare Information warfare Internet security Mobile security Network security Copy protection Digital rights management	vectorial version
Threats	Adware Advanced persistent threat Arbitrary code execution Backdoors Bombs Fork Logic Time Zip Hardware backdoors Code injection Crimeware Cross-site scripting Cross-site leaks DOM clobbering History sniffing Cryptojacking Botnets Data breach Drive-by download Browser Helper Objects Viruses Data scraping Denial-of-service attack Eavesdropping Email fraud Email spoofing Exploits Fraudulent dialers Hacktivism Infostealer Insecure direct object reference Keystroke loggers Malware Payload Phishing Voice Polymorphic engine Privilege escalation Ransomware Rootkits Scareware Shellcode Spamming Social engineering Spyware Software bugs Trojan horses Hardware Trojans Remote access trojans Vulnerability Web shells Wiper Worms SQL injection Rogue security software Zombie
Defenses	Application security Secure coding Secure by default Secure by design Misuse case Computer access control Authentication Multi-factor authentication Authorization Computer security software Antivirus software Security-focused operating system Data-centric security Obfuscation (software) Data masking Encryption Firewall Intrusion detection system Host-based intrusion detection system (HIDS) Anomaly detection Information security management Information risk management Security information and event management (SIEM) Runtime application self-protection Site isolation