===== Infostealeri ===== Video prezentacija: [[https://ferhr-my.sharepoint.com/:v:/g/personal/fo53518_fer_hr/EfXSKi1h-7FArw4uiX5Sb7YBDMXlC1x5oWviyfBNYPtvpg?e=Bnk2vD|Infostealeri]] ===== Sažetak ===== Infostealeri su zlonamjerni softveri dizajnirani za krađu osjetljivih informacija s kompromitiranih sustava, uključujući vjerodajnice, financijske podatke i druge povjerljive informacije. Ovaj rad analizira metode infiltracije koje infostealeri koriste te najčešće vrste i ciljeve napada infostealerima. Rad razmatra karakteristike poznatih infostealera poput //Zeus//-a, //RedLine//-a i //Lumma stealera//, naglašavajući njihov način djelovanja i širenja. Također su predstavljene strategije zaštite i prevencije zaraze infostealerima. Zaključno, naglašava se potreba za proaktivnim pristupom i kontinuiranim prilagodbama sigurnosnih strategija kako bi se učinkovito odgovorilo na prijetnje koje predstavljaju infostealeri, uz isticanje važnosti svijesti o njihovom rastućem utjecaju u današnjem digitalnom okruženju. Ključne riječi: infostealer; malware; napad; ranjivost; krađa podataka; zaštita; internet; crno tržište; ===== Uvod ===== U 20-im godinama 21. stoljeća,ogromni koraci u području računarstva, ubrzana digitalizacija i napredak tehnologije općenito nisu novost, već su postali svakodnevnica. U proteklih nekoliko godina neki od glavnih trendova postali su ulaganja u tzv. **cloud** tehnologije i **digitalizaciju** servisa i usluga. Cloud tehnologije omogućuju pohranu osobnih podataka kojima se može pristupiti s gotovo svakog uređaja koji ima pristup internetu, omogućuju rad od kuće, bilo za poslovne ili osobne potrebe. Zbog nagle digitalizacije moguće je kupovati direktno putem interneta, bez potrebe za odlaskom do dućana ili shopping centara. Kupovanje video igara ili gledanje najdražih filmova i serija također je moguće online putem //streaming// servisa ili specijaliziranih platformi. Ukratko, sve što se nekada moralo raditi fizički, sada se može s nekoliko klikova. Međutim, da bi se sve to moglo, potrebno je imati korisničke račune s osobnim podatcima, koji su najčešće povezani kroz više platformi. Sve navedeno stvara savršene uvjete za jednu veliku prijetnju: **infostealere**. Infostealeri su **maliciozni programi** (//**malware**//) koji nastoje ukrasti korisničke podatke i sve relevantne informacije o korisnicima kako bi se na štetu drugih ostvarila osobna korist za korisnika infostealera. ===== Kratki povijesni pregled infostealera ===== Infostealeri su u početku bili dizajnirani kao mali pomoćni programi već postojećim malicioznim programima, te nisu zapravo postojali kao posebna izdvojena skupina //malware//-a. Prvi ozbiljniji, veći program koji se smatra jednim od prvih "modernih" infostealera bio je **Zeus**. Ne zna se točno kada je Zeus kreiran, ali najraniji zabilježeni podatci pokazuju da se koristio već **2007.** godine, a razvijen je najvjerojatnije u Rusiji, budući da su sve izvorne upute i pomoćni alati pisani na ruskom jeziku. U **2009.** godini //**Symantec Rapid Response**// tim objavio je tehničku analizu Zeus infostealera. Analizom se zaključilo da je Zeus pokušavao ukrasti lozinke korisnika koje je //Internet Explorer// slao računalu preko **POP3** i **FTP** protokola. Također je bilo moguće konfigurirati koje //web// stranice će Zeus nadgledati da pokuša ukrasti podatke. Do **2020.** godine, infostealeri su gotovo u potpunosti zamijenili prethodno dominantne //botnet//-ove,a biznis zasnovan na infostealerima postao je ekstremno profitabilan i kompetitivan. Infostealeri su postali profesionalni alati koji se mogu koristiti kao dodatna pomoć malicioznim programima za krađu podataka, a mogu funkcionirati i samostalno. Rusko sjedište za multinacionalnu sigurnost //**Kaspersky Lab** // [[#literatura|[8]]] objavilo je **2023.** godine kako je **24%** svih //malware//-a za prodaju na //dark webu// neka vrsta infostealera. {{ racfor_wiki:infostealertrend.png?650|Infostealer trend}} Slika 1. Broj zabilježenih infekcija infostealerima 2018. do 2023. godine [[#literatura|[4]]] ===== Kako funkcioniraju infostealeri? ===== ==== Personally Identifiable Information ==== Za bolje razumijevanje načina rada infostealera, valja spomenuti podatke koji otkrivaju identitet (engl. //**Personally Identifiable Information**// - **PII**) [[#literatura|[7]]] .Takvim podatcima smatraju se svi podatci koji sami ili uz druge relevantne podatke omogućuju otkrivanje identiteta korisnika. Obično se takvi podatci dijele u dvije skupine: osjetljive i neosjetljive. Primjer osjetljivih //PII//-eva: * Ime i prezime * Adresa * Broj mobitela/telefona * Broj kreditne kartice * OIB///Social security number// * Putovnica * IP adresa * Lokacijski podatci * Kolačići (engl. //cookies//) Primjer neosjetljivih //PII//-eva: * Rasa * Spol * Rod * Religija ==== Princip rada ==== Infostealeri funkcioniraju na **MaaS (//malware-as-a-service//)** principu. To znači da se mogu kupiti na **//dark web//-u**, najčešće preko sustava pretplate. Neki infostealeri mogu se kupiti po cijeni od samo **10$**! Korisnik kupi prava na korištenje infostealera na određeno vrijeme, ukrade **tuđe PII** podatke, a zatim ih može prodati na istom crnom tržištu i ostvariti ogroman profit. Velik broj zadovoljnih korisnika koji ostvaruju laku zaradu posljedično diže **reputaciju** korištenog infostealera, što motivira kreatore (programere) infostealera da rade na poboljšanju svojeg proizvoda, što na kraju donosi još veću zaradu. Tako nastaje vrlo **kompetitivan** i **stabilan** ekosustav infostealera na crnom tržištu. {{ racfor_wiki:infostealerekosustav.jpeg?650|Infostealer ekosustav }} Slika 2. Infostealer ekosustav na crnom tržištu [[#literatura|[3]]] Većina infostealera dostupnih na crnom tržištu ima više mogućnosti za krađu PII podataka, ali najčešće se može odabrati cilj krađe (npr. krađa lozinke) i metoda kojom se to želi postići. Postoje "sofisticiraniji" infostealeri koji imaju mogućnost ponašanja kao **RAT (//remote access trojan//)** koji upadaju u žrtvin sustav i preuzimaju kontrolu (npr. **Agent Tesla**) ili se ponašaju kao //ransomware//. Unatoč raznolikosti, velika većina infostealera nudi mogućnosti za napad kao što su: *//Keylogger// - alat koji prati kretnje korisnikovih prstiju po tipkovnici *//Clipboard hijacker// - alat koji krade podatke iz međuspremnika (engl. //clipboard//) žrtvinog računala *//File harvester// - alat koji pretražuje datoteke i //mail//-ove na žrtvinom računalu *//Session hijacker// - alat koji krade podatke kolačiće i //session token//-e iz web preglednika Infostealeri zaraze žrtvino računalo na iste načine kao što bi to učinili i drugi maliciozni programi: putem sumnjivih //mail//-ova, //executable// datoteka, pomoću //phishing// metoda i sl. {{ racfor_wiki:infostealerciklus.jpeg?650|Infostealer ciklus korištenja }} Slika 3. Proces rada infostealer programa [[#literatura|[1]]] Kako svi infostealeri dolaze uz jasne upute i pomoćne programe, ljudi **bez tehničke podloge** također mogu koristiti ove maliciozne programe za osobnu korist. Jedino potrebno znanje jest kako pronaći crno tržište na kojem se mogu kupiti. ==== Primjer infostealera: RedLine ==== //RedLine// infostealer se prvi puta pojavio na tržištu u **ožujku 2020.** godine (prikladno, u isto vrijeme se proširila pandemija //covid19//) te ubrzo postao najpopularniji i jedan od najboljih infostealer programa dostupnih na crnom tržištu. O popularnosti RedLinea svjedoči i broj detekcija koje je provela tvrtka za kibernetičku sigurnost //Lumu technologies// (Slika 4). //RedLine// bi zarazio žrtvino računalo oponašajući //e-mail// tvrtke koja je radila legitimno istraživanje vezano za pronalazak cjepiva za //covid19// te je u kratkom roku postigao rekordne brojke. Na crnom tržištu dostupan je po cijeni od **100-150$** ili mjesečnoj pretplati od 100$. RedLine prikuplja PII podatke kao što su podatci iz //autocomplete//-a, pohranjene lozinke i brojeve kartica iz žrtvinog preglednika. Novije verzije RedLinea također omogućuju pregled sistemskih datoteka na žrtvinom računalu,napade na FTP klijente te čak i **krađu kriptovaluta**. Sve prikupljene informacije o žrtvi RedLine periodički šalje korisniku. {{ racfor_wiki:lumuinfostealerdetections.jpeg?650|Infostealer detekcije }} Slika 4. Detekcije infostealera provedene od tvrtke //Lumu technologies// [[#literatura|[3]]] ==== Primjer infostealera: Lumma stealer ==== //Lumma stealer// je infostealer napisan u programskom jeziku **C** koji se prvi puta pojavio na Ruskom crnom tržištu u **kolovozu 2022.** godine. Razvio ga je programer poznat na Ruskim forumima pod aliasom //Lumma//, po čemu je alat dobio ime. Do 2024. godine Lumma stealer našao se pri vrhu trendova na //malware// tržištu. Ovaj infostealer namijenjen je krađi kriptovaluta i dvofaktorskih (engl. 2FA - //two factor authentication//) ekstenzija u //web// preglednicima. Žrtvino računalo najčešće zarazi preko lažnih **CAPTCHA** verifikacija. Ukradeni podatci šalju na **C2** (//Command and Control//) server preko HTTP POST zahtjeva korištenjem //TeslaBrowser/5.5// klijenta. Detaljnija analiza //Lumma stealer//-a i načina kako funkcionira dostupna je na sljedećoj poveznici: [[#literatura|[10]]] {{ racfor_wiki:lummastealersteps.jpeg?650|Lummastealer ciklus}} Slika 5. Proces zaraze i krađe podataka alatom //Lumma stealer//. [[#literatura|[10]]] ==== Primjeri stvarnih napada infostealerima ==== === Chance Healthcare incident === U **veljači 2024.** godine, kompanija **Chance Healthcare** morala je platiti 22 milijuna dolara otkupnine **ALPHV/BlackCat** skupini, nakon upada u njihov Citrix portal pomoću podataka za prijavu jednog zaposlenika. Na portalu nije bilo nikakve multifaktorske zaštite (MFA). Više informacija dostupno je na poveznici: [[#literatura|[11]]]. === Airbus Turkish Airlines napad === Brazilski haker **USDoD** objavio je na hakerskom forumu **11. rujna 2023.** godine ukradene informacije o preko 3200 osoba ukradenih **//Airbus//**-u pomoću podataka za prijavu jednog zaposlenika //Turkish Airlines//-a. Podatci su ukradeni //RedLine// infostealerom, nakon što je zaposlenik pokušao preuzeti piratizirani **//.NET//** softver. Više informacija dostupno je na poveznici:[[#literatura|[12]]]. ==== Posljedice napada ==== Glavna posljedica je uvijek krađa osobnih podataka (**PII**), te ovisno o vrsti ukradenih podataka posljedice se mogu razlikovati. Neke od najčešćih posljedica su: * Krađa identiteta (engl. //identity theft//) * Neovlaštene financijske transakcije (engl. //financial fraud//) * //Ransomware// napadi * Krađa sesije (engl. //session hijack//) * Curenje osobnih/poslovnih informacija (engl. //data leak//) * Blokiranje korisničkih računa * Povrede ili potpuni gubitak podataka ==== Kako se zaštititi od napada? ==== * Koristiti antivirusne programe i stalna aktualizacija istih * Izjegavati sumnjive poveznice i //web// stranice * Redovito raditi sigurnosne preglede računala * Koristiti snažne lozinke i jedinstvene za svako //web// mjesto * Redovito čistiti podatke //web// preglednika ===== Za one koji žele znati više ===== Aktualni trendovi među //malware//-ima: [[#literatura|[13]]] Službene stranice //HudsonRock// organizacije koja nudi rješenja pri zaštiti od malicioznih napada, redovito prati i analizira indicente, napade, ranjivosti i ostale novosti u kibernetičkom svijetu: [[#literatura|[14]]] Službene stranice //HudsonRock//-a za infostealer novosti: [[#literatura|[16]]] Kako se //Windows defender// nosi s 100 najboljih infostealera na tržištu: [[#literatura|[15]]] ===== Zaključak ===== **Infostealeri** predstavljaju sve **veću prijetnju** u svijetu kibernetičke sigurnosti, posebice zbog svoje učinkovitosti pri krađi osjetljivih podataka i uporabi istih za nanošenje **štete**. Njihova široka dostupnost na //dark web//-u i jednostavna implementacija čine ih privlačnima za kibernetičke kriminalce **svih razina** tehničkog znanja. Nažalost, broj potvrđenih napada infostealerima svakim danom raste, zbog činjenice da se vrlo lako mogu infiltrirati u žrtvino računalo, pogotovo naglom popularizacijom //online// usluga i servisa. **Teško ih je otkriti** te često kad su otkriveni, već bude prekasno. Organizacije i pojedinci moraju uložiti napore u jačanje svojih sigurnosnih praksi, poput korištenja snažnih lozinki, višefaktorske autentifikacije i redovitog ažuriranja softvera. Također, praćenje aktivnosti infostealera i **razumijevanje** njihovih **tehnika** ključni su za pravovremeno otkrivanje prijetnji. Kroz kombinaciju **svijesti**, naprednih alata za praćenje i **proaktivnih** mjera, moguće je **smanjiti rizik** i zaštititi podatke od ovih sofisticiranih prijetnji. ===== Literatura ===== [1] Općenito o infostealerima: [[https://proton.me/blog/infostealers]] [2] Općenito o infostealerima: [[https://en.wikipedia.org/wiki/Infostealer]] [3] Općenito o infostealerima: [[https://lumu.io/blog/infostealers-silent-threat-compromising-world/]] [4] Općenito o infostealerima: [[https://www.infostealers.com/article/botnets-are-dead-long-live-infostealers-a-comparison/]] [5] Zeus infostealer (PDF): [[https://web.archive.org/web/20170110123104/http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/zeus_king_of_bots.pdf|Zeus_king_of_bots]] [6] Enciklopedija //malware//-a: [[https://malpedia.caad.fkie.fraunhofer.de]] [7] Više o PII: [[https://matomo.org/personally-identifiable-information-guide-list-of-pii-examples/]] [8] Kaspersky laboratorij: [[https://www.kaspersky.com]] [9] RedLine infostealer: [[https://nordvpn.com/blog/redline-stealer-malware/]] [10] Lumma stealer: [[https://blog.qualys.com/vulnerabilities-threat-research/2024/10/20/unmasking-lumma-stealer-analyzing-deceptive-tactics-with-fake-captcha]] [11] Chance Healthcare indicent: [[https://www.scworld.com/news/change-healthcare-incident-caused-by-compromised-citrix-credentials]] [12] Airbus USDoD indicent: [[https://thecyberexpress.com/airbus-cyber-attack-usdod-turkish-airlines/]] [13] HudsonRock službene stranice: [[https://www.hudsonrock.com]] [14] //Malware// trendovi: [[https://any.run/malware-trends/]] [15] Windows defender protiv 100 infostealera: [[https://www.youtube.com/watch?v=rcfjjiv_mtU]] [16] //HudsonRock// infostealer novosti: [[https://www.infostealers.com]]