Przejdź do treści
Breachroad
Wróć do bloga
Malware

Infostealer: malware, który kradnie wszystkie Twoje hasła

Infostealery to najczęstsze złośliwe oprogramowanie kradnące hasła, ciasteczka i portfele. Wyjaśniamy, jak infekują, dlaczego omijają MFA i jak się chronić.

KR
Karol Rapacz
11 czerwca 2026 · 10 min czytania
Infostealer: malware, który kradnie wszystkie Twoje hasła

Za większością wielkich włamań ostatnich lat — od przejęć firmowych sieci po kradzieże kryptowalut — stoi cichy, niepozorny sprawca: infostealer. To rodzina złośliwego oprogramowania, którego jedynym zadaniem jest w kilka sekund wykraść z zainfekowanego komputera wszystko, co cenne: zapisane hasła, ciasteczka sesji, dane kart, portfele kryptowalut i tokeny. Zebrane dane („logi”) trafiają potem na przestępcze rynki, gdzie kupują je inni napastnicy. Zrozumienie, jak działa stealer, to dziś jedna z najważniejszych umiejętności obrony — bo ten atak dotyka zarówno osób prywatnych, jak i firm.

Co dokładnie kradnie infostealer

W przeciwieństwie do ransomware, który krzyczy o okupie, infostealer działa po cichu. Po uruchomieniu w kilka sekund zbiera:

  • hasła zapisane w przeglądarce (Chrome, Edge, Firefox) — te „zapamiętaj hasło” są dla stealera łatwym łupem,
  • ciasteczka sesji — to klucz do ominięcia logowania: mając ważne ciasteczko, napastnik wchodzi na konto bez hasła i bez MFA,
  • dane kart i formularzy autouzupełniania,
  • portfele kryptowalut i klucze,
  • tokeny komunikatorów, poczty, a przy komputerach deweloperów — kluczy API i dostępów do chmury.

Efekt to gotowy „pakiet dostępu” do Twojego życia cyfrowego, wykradziony jednym uruchomieniem programu.

Dlaczego infostealer omija MFA

To najważniejszy i najczęściej niezrozumiany punkt. Wiele osób sądzi, że MFA chroni przed wszystkim. Tymczasem gdy się logujesz, serwis zapisuje w przeglądarce ciasteczko sesji — dowód, że uwierzytelnienie już się odbyło, żebyś nie musiał logować się przy każdym kliknięciu. Infostealer kradnie właśnie to ciasteczko. Napastnik wkleja je u siebie i jest zalogowany jako Ty — logowanie i MFA są pominięte, bo z perspektywy serwisu Twoja sesja po prostu trwa. To ta sama mechanika, którą opisywaliśmy przy wycieku tokenów OAuth: coś, co działa po logowaniu, nie jest chronione przez samo logowanie.

Jak dochodzi do infekcji

Stealery rozprzestrzeniają się głównie przez socjotechnikę i „darmowe” oprogramowanie:

  • Pirackie programy i cracki, gry, „darmowe” narzędzia — ulubiony nośnik; ofiara sama uruchamia infekcję, licząc na darmowy software.
  • Fałszywe reklamy w wyszukiwarce (malvertising) — podszywają się pod popularne aplikacje (przeglądarki, narzędzia), a link prowadzi do zainfekowanego instalatora.
  • Fałszywe „aktualizacje” i CAPTCHA — coraz częściej ofiara jest instruowana, by wkleić polecenie do konsoli systemu (tzw. ClickFix), co sama uruchamia stealera.
  • Załączniki i linki w phishingu.

Wspólny mianownik: infostealer niemal zawsze wymaga, byś sam coś uruchomił. To dobra wiadomość — bo daje realne pole do obrony.

Jak się chronić

Nie instaluj oprogramowania z niepewnych źródeł. Cracki, „darmowe” wersje płatnych programów i narzędzia z przypadkowych stron to najczęstszy nośnik stealerów. Pobieraj wyłącznie z oficjalnych źródeł.

Uważaj na reklamy w wyszukiwarce. Szukając programu, nie klikaj w pierwszą reklamę — wejdź na oficjalną domenę producenta wpisaną ręcznie.

Nigdy nie wklejaj poleceń, których nie rozumiesz. Jeśli strona lub „CAPTCHA” każe Ci otworzyć konsolę i coś wkleić — to atak. Żaden legalny serwis tego nie wymaga.

Nie trzymaj haseł w przeglądarce. Używaj dedykowanego menedżera haseł z osobnym hasłem głównym — jest znacznie trudniejszy do wykradzenia niż hasła zapisane w profilu przeglądarki.

Włącz porządny EDR/antywirus i aktualizuj system oraz przeglądarkę. W firmie to szczególnie ważne — pisaliśmy o różnicy EDR vs antywirus.

Po infekcji: zakładaj kradzież wszystkiego. Zmień hasła (z czystego urządzenia) i wyloguj wszystkie sesje, żeby unieważnić wykradzione ciasteczka — inaczej napastnik działa dalej mimo zmiany hasła.

Infostealer jako problem firmowy

Dla organizacji stealery są szczególnie groźne, bo jeden zainfekowany laptop pracownika może oddać napastnikowi dostęp do firmowej poczty, VPN-a i chmury — a stąd już blisko do ransomware. Wykradzione firmowe poświadczenia trafiają na rynki, gdzie kupują je grupy szukające wejścia do sieci. Dlatego warto: wymuszać odporne na phishing MFA, skracać czas życia sesji dla wrażliwych systemów, monitorować logowania i szkolić zespół z rozpoznawania malvertisingu i „ClickFix”.

Najczęstsze pytania (FAQ)

Skoro mam MFA, po co martwić się stealerem? Bo stealer kradnie ciasteczka sesji, które omijają MFA. MFA chroni moment logowania — a napastnik z wykradzionym ciasteczkiem nie musi się logować, bo „jest już zalogowany”. Dlatego oprócz MFA liczą się: higiena instalowania oprogramowania, menedżer haseł i szybkie unieważnianie sesji po incydencie.

Jak sprawdzić, czy mój komputer jest zainfekowany? Stealery działają dyskretnie, więc objawy bywają niewidoczne. Uruchom skan porządnym narzędziem EDR/antywirusowym, sprawdź nieznane procesy i rozszerzenia przeglądarki. Jeśli Twoje dane pojawiają się w wyciekach albo widzisz logowania, których nie robiłeś — potraktuj to jak infekcję i zmień hasła z czystego urządzenia.

Czy stealery atakują też telefony? Głównym celem są komputery (bogatsze w hasła i ciasteczka), ale istnieje złośliwe oprogramowanie mobilne kradnące dane, zwłaszcza spoza oficjalnych sklepów. Zasada jest ta sama: instaluj tylko z oficjalnych źródeł, o czym piszemy w tekście o bezpieczeństwie smartfona.

Wykradziono mi hasła. Od czego zacząć? Od czystego urządzenia: zmień hasło do poczty (to klucz do reszty), włącz odporne MFA, wyloguj wszystkie sesje w kluczowych serwisach, przejrzyj reguły przekierowań poczty i dodane metody logowania. Dopiero potem zajmij się resztą kont.

Prowadzimy firmę — jak ograniczyć ryzyko stealerów? Kontrola instalowanego oprogramowania, EDR na stacjach, odporne MFA, krótkie sesje i monitoring logowań to podstawa. W ramach audytu bezpieczeństwa sprawdzamy te obszary i pokazujemy, gdzie jeden zainfekowany laptop mógłby otworzyć całą sieć. Porozmawiajmy.

Podsumowanie

Infostealer to cichy złodziej, który jednym uruchomieniem wykrada hasła, ciasteczka i portfele — a kradnąc sesje, omija nawet MFA. Obrona jest jednak w dużej mierze w Twoich rękach: nie uruchamiaj oprogramowania z niepewnych źródeł, nie wklejaj tajemniczych poleceń, przenieś hasła do menedżera, używaj EDR i po każdym podejrzeniu unieważniaj sesje. To tania higiena, która zamyka najczęstszą dziś drogę do przejęcia kont.


Źródła i dalsza lektura: CERT Polska, Sekurak, Niebezpiecznik.

Udostępnij artykuł

Usługi Umów konsultację