Infostealer: malware, który kradnie wszystkie Twoje hasła
Infostealery to najczęstsze złośliwe oprogramowanie kradnące hasła, ciasteczka i portfele. Wyjaśniamy, jak infekują, dlaczego omijają MFA i jak się chronić.
Za większością wielkich włamań ostatnich lat — od przejęć firmowych sieci po kradzieże kryptowalut — stoi cichy, niepozorny sprawca: infostealer. To rodzina złośliwego oprogramowania, którego jedynym zadaniem jest w kilka sekund wykraść z zainfekowanego komputera wszystko, co cenne: zapisane hasła, ciasteczka sesji, dane kart, portfele kryptowalut i tokeny. Zebrane dane („logi”) trafiają potem na przestępcze rynki, gdzie kupują je inni napastnicy. Zrozumienie, jak działa stealer, to dziś jedna z najważniejszych umiejętności obrony — bo ten atak dotyka zarówno osób prywatnych, jak i firm.
Co dokładnie kradnie infostealer
W przeciwieństwie do ransomware, który krzyczy o okupie, infostealer działa po cichu. Po uruchomieniu w kilka sekund zbiera:
- hasła zapisane w przeglądarce (Chrome, Edge, Firefox) — te „zapamiętaj hasło” są dla stealera łatwym łupem,
- ciasteczka sesji — to klucz do ominięcia logowania: mając ważne ciasteczko, napastnik wchodzi na konto bez hasła i bez MFA,
- dane kart i formularzy autouzupełniania,
- portfele kryptowalut i klucze,
- tokeny komunikatorów, poczty, a przy komputerach deweloperów — kluczy API i dostępów do chmury.
Efekt to gotowy „pakiet dostępu” do Twojego życia cyfrowego, wykradziony jednym uruchomieniem programu.
Dlaczego infostealer omija MFA
To najważniejszy i najczęściej niezrozumiany punkt. Wiele osób sądzi, że MFA chroni przed wszystkim. Tymczasem gdy się logujesz, serwis zapisuje w przeglądarce ciasteczko sesji — dowód, że uwierzytelnienie już się odbyło, żebyś nie musiał logować się przy każdym kliknięciu. Infostealer kradnie właśnie to ciasteczko. Napastnik wkleja je u siebie i jest zalogowany jako Ty — logowanie i MFA są pominięte, bo z perspektywy serwisu Twoja sesja po prostu trwa. To ta sama mechanika, którą opisywaliśmy przy wycieku tokenów OAuth: coś, co działa po logowaniu, nie jest chronione przez samo logowanie.
Jak dochodzi do infekcji
Stealery rozprzestrzeniają się głównie przez socjotechnikę i „darmowe” oprogramowanie:
- Pirackie programy i cracki, gry, „darmowe” narzędzia — ulubiony nośnik; ofiara sama uruchamia infekcję, licząc na darmowy software.
- Fałszywe reklamy w wyszukiwarce (malvertising) — podszywają się pod popularne aplikacje (przeglądarki, narzędzia), a link prowadzi do zainfekowanego instalatora.
- Fałszywe „aktualizacje” i CAPTCHA — coraz częściej ofiara jest instruowana, by wkleić polecenie do konsoli systemu (tzw. ClickFix), co sama uruchamia stealera.
- Załączniki i linki w phishingu.
Wspólny mianownik: infostealer niemal zawsze wymaga, byś sam coś uruchomił. To dobra wiadomość — bo daje realne pole do obrony.
Jak się chronić
Nie instaluj oprogramowania z niepewnych źródeł. Cracki, „darmowe” wersje płatnych programów i narzędzia z przypadkowych stron to najczęstszy nośnik stealerów. Pobieraj wyłącznie z oficjalnych źródeł.
Uważaj na reklamy w wyszukiwarce. Szukając programu, nie klikaj w pierwszą reklamę — wejdź na oficjalną domenę producenta wpisaną ręcznie.
Nigdy nie wklejaj poleceń, których nie rozumiesz. Jeśli strona lub „CAPTCHA” każe Ci otworzyć konsolę i coś wkleić — to atak. Żaden legalny serwis tego nie wymaga.
Nie trzymaj haseł w przeglądarce. Używaj dedykowanego menedżera haseł z osobnym hasłem głównym — jest znacznie trudniejszy do wykradzenia niż hasła zapisane w profilu przeglądarki.
Włącz porządny EDR/antywirus i aktualizuj system oraz przeglądarkę. W firmie to szczególnie ważne — pisaliśmy o różnicy EDR vs antywirus.
Po infekcji: zakładaj kradzież wszystkiego. Zmień hasła (z czystego urządzenia) i wyloguj wszystkie sesje, żeby unieważnić wykradzione ciasteczka — inaczej napastnik działa dalej mimo zmiany hasła.
Infostealer jako problem firmowy
Dla organizacji stealery są szczególnie groźne, bo jeden zainfekowany laptop pracownika może oddać napastnikowi dostęp do firmowej poczty, VPN-a i chmury — a stąd już blisko do ransomware. Wykradzione firmowe poświadczenia trafiają na rynki, gdzie kupują je grupy szukające wejścia do sieci. Dlatego warto: wymuszać odporne na phishing MFA, skracać czas życia sesji dla wrażliwych systemów, monitorować logowania i szkolić zespół z rozpoznawania malvertisingu i „ClickFix”.
Najczęstsze pytania (FAQ)
Skoro mam MFA, po co martwić się stealerem? Bo stealer kradnie ciasteczka sesji, które omijają MFA. MFA chroni moment logowania — a napastnik z wykradzionym ciasteczkiem nie musi się logować, bo „jest już zalogowany”. Dlatego oprócz MFA liczą się: higiena instalowania oprogramowania, menedżer haseł i szybkie unieważnianie sesji po incydencie.
Jak sprawdzić, czy mój komputer jest zainfekowany? Stealery działają dyskretnie, więc objawy bywają niewidoczne. Uruchom skan porządnym narzędziem EDR/antywirusowym, sprawdź nieznane procesy i rozszerzenia przeglądarki. Jeśli Twoje dane pojawiają się w wyciekach albo widzisz logowania, których nie robiłeś — potraktuj to jak infekcję i zmień hasła z czystego urządzenia.
Czy stealery atakują też telefony? Głównym celem są komputery (bogatsze w hasła i ciasteczka), ale istnieje złośliwe oprogramowanie mobilne kradnące dane, zwłaszcza spoza oficjalnych sklepów. Zasada jest ta sama: instaluj tylko z oficjalnych źródeł, o czym piszemy w tekście o bezpieczeństwie smartfona.
Wykradziono mi hasła. Od czego zacząć? Od czystego urządzenia: zmień hasło do poczty (to klucz do reszty), włącz odporne MFA, wyloguj wszystkie sesje w kluczowych serwisach, przejrzyj reguły przekierowań poczty i dodane metody logowania. Dopiero potem zajmij się resztą kont.
Prowadzimy firmę — jak ograniczyć ryzyko stealerów? Kontrola instalowanego oprogramowania, EDR na stacjach, odporne MFA, krótkie sesje i monitoring logowań to podstawa. W ramach audytu bezpieczeństwa sprawdzamy te obszary i pokazujemy, gdzie jeden zainfekowany laptop mógłby otworzyć całą sieć. Porozmawiajmy.
Podsumowanie
Infostealer to cichy złodziej, który jednym uruchomieniem wykrada hasła, ciasteczka i portfele — a kradnąc sesje, omija nawet MFA. Obrona jest jednak w dużej mierze w Twoich rękach: nie uruchamiaj oprogramowania z niepewnych źródeł, nie wklejaj tajemniczych poleceń, przenieś hasła do menedżera, używaj EDR i po każdym podejrzeniu unieważniaj sesje. To tania higiena, która zamyka najczęstszą dziś drogę do przejęcia kont.
Źródła i dalsza lektura: CERT Polska, Sekurak, Niebezpiecznik.