Video prezentacija: Infostealeri

Infostealeri su zlonamjerni softveri dizajnirani za krađu osjetljivih informacija s kompromitiranih sustava, uključujući vjerodajnice, financijske podatke i druge povjerljive informacije. Ovaj rad analizira metode infiltracije koje infostealeri koriste te najčešće vrste i ciljeve napada infostealerima. Rad razmatra karakteristike poznatih infostealera poput Zeus-a, RedLine-a i Lumma stealera, naglašavajući njihov način djelovanja i širenja. Također su predstavljene strategije zaštite i prevencije zaraze infostealerima. Zaključno, naglašava se potreba za proaktivnim pristupom i kontinuiranim prilagodbama sigurnosnih strategija kako bi se učinkovito odgovorilo na prijetnje koje predstavljaju infostealeri, uz isticanje važnosti svijesti o njihovom rastućem utjecaju u današnjem digitalnom okruženju.

Ključne riječi: infostealer; malware; napad; ranjivost; krađa podataka; zaštita; internet; crno tržište;

U 20-im godinama 21. stoljeća,ogromni koraci u području računarstva, ubrzana digitalizacija i napredak tehnologije općenito nisu novost, već su postali svakodnevnica. U proteklih nekoliko godina neki od glavnih trendova postali su ulaganja u tzv. cloud tehnologije i digitalizaciju servisa i usluga.

Cloud tehnologije omogućuju pohranu osobnih podataka kojima se može pristupiti s gotovo svakog uređaja koji ima pristup internetu, omogućuju rad od kuće, bilo za poslovne ili osobne potrebe. Zbog nagle digitalizacije moguće je kupovati direktno putem interneta, bez potrebe za odlaskom do dućana ili shopping centara. Kupovanje video igara ili gledanje najdražih filmova i serija također je moguće online putem streaming servisa ili specijaliziranih platformi.

Ukratko, sve što se nekada moralo raditi fizički, sada se može s nekoliko klikova. Međutim, da bi se sve to moglo, potrebno je imati korisničke račune s osobnim podatcima, koji su najčešće povezani kroz više platformi. Sve navedeno stvara savršene uvjete za jednu veliku prijetnju: infostealere.

Infostealeri su maliciozni programi (malware) koji nastoje ukrasti korisničke podatke i sve relevantne informacije o korisnicima kako bi se na štetu drugih ostvarila osobna korist za korisnika infostealera.

Infostealeri su u početku bili dizajnirani kao mali pomoćni programi već postojećim malicioznim programima, te nisu zapravo postojali kao posebna izdvojena skupina malware-a. Prvi ozbiljniji, veći program koji se smatra jednim od prvih “modernih” infostealera bio je Zeus. Ne zna se točno kada je Zeus kreiran, ali najraniji zabilježeni podatci pokazuju da se koristio već 2007. godine, a razvijen je najvjerojatnije u Rusiji, budući da su sve izvorne upute i pomoćni alati pisani na ruskom jeziku.

U 2009. godini Symantec Rapid Response tim objavio je tehničku analizu Zeus infostealera. Analizom se zaključilo da je Zeus pokušavao ukrasti lozinke korisnika koje je Internet Explorer slao računalu preko POP3 i FTP protokola. Također je bilo moguće konfigurirati koje web stranice će Zeus nadgledati da pokuša ukrasti podatke.

Do 2020. godine, infostealeri su gotovo u potpunosti zamijenili prethodno dominantne botnet-ove,a biznis zasnovan na infostealerima postao je ekstremno profitabilan i kompetitivan. Infostealeri su postali profesionalni alati koji se mogu koristiti kao dodatna pomoć malicioznim programima za krađu podataka, a mogu funkcionirati i samostalno.

Rusko sjedište za multinacionalnu sigurnost Kaspersky Lab [8] objavilo je 2023. godine kako je 24% svih malware-a za prodaju na dark webu neka vrsta infostealera.

Slika 1. Broj zabilježenih infekcija infostealerima 2018. do 2023. godine [4]

Za bolje razumijevanje načina rada infostealera, valja spomenuti podatke koji otkrivaju identitet (engl. Personally Identifiable Information - PII) [7] .Takvim podatcima smatraju se svi podatci koji sami ili uz druge relevantne podatke omogućuju otkrivanje identiteta korisnika. Obično se takvi podatci dijele u dvije skupine: osjetljive i neosjetljive.

Primjer osjetljivih PII-eva:

• Ime i prezime
• Adresa
• Broj mobitela/telefona
• Broj kreditne kartice
• OIB/Social security number
• Putovnica
• IP adresa
• Lokacijski podatci
• Kolačići (engl. cookies)

Primjer neosjetljivih PII-eva:

• Rasa
• Spol
• Rod
• Religija

Infostealeri funkcioniraju na MaaS (malware-as-a-service) principu. To znači da se mogu kupiti na dark web-u, najčešće preko sustava pretplate. Neki infostealeri mogu se kupiti po cijeni od samo 10$! Korisnik kupi prava na korištenje infostealera na određeno vrijeme, ukrade tuđe PII podatke, a zatim ih može prodati na istom crnom tržištu i ostvariti ogroman profit. Velik broj zadovoljnih korisnika koji ostvaruju laku zaradu posljedično diže reputaciju korištenog infostealera, što motivira kreatore (programere) infostealera da rade na poboljšanju svojeg proizvoda, što na kraju donosi još veću zaradu. Tako nastaje vrlo kompetitivan i stabilan ekosustav infostealera na crnom tržištu.

Slika 2. Infostealer ekosustav na crnom tržištu [3]

Većina infostealera dostupnih na crnom tržištu ima više mogućnosti za krađu PII podataka, ali najčešće se može odabrati cilj krađe (npr. krađa lozinke) i metoda kojom se to želi postići. Postoje “sofisticiraniji” infostealeri koji imaju mogućnost ponašanja kao RAT (remote access trojan) koji upadaju u žrtvin sustav i preuzimaju kontrolu (npr. Agent Tesla) ili se ponašaju kao ransomware. Unatoč raznolikosti, velika većina infostealera nudi mogućnosti za napad kao što su:

• Keylogger - alat koji prati kretnje korisnikovih prstiju po tipkovnici
• Clipboard hijacker - alat koji krade podatke iz međuspremnika (engl. clipboard) žrtvinog računala
• File harvester - alat koji pretražuje datoteke i mail-ove na žrtvinom računalu
• Session hijacker - alat koji krade podatke kolačiće i session token-e iz web preglednika

Infostealeri zaraze žrtvino računalo na iste načine kao što bi to učinili i drugi maliciozni programi: putem sumnjivih mail-ova, executable datoteka, pomoću phishing metoda i sl.

Slika 3. Proces rada infostealer programa [1]

Kako svi infostealeri dolaze uz jasne upute i pomoćne programe, ljudi bez tehničke podloge također mogu koristiti ove maliciozne programe za osobnu korist. Jedino potrebno znanje jest kako pronaći crno tržište na kojem se mogu kupiti.

RedLine infostealer se prvi puta pojavio na tržištu u ožujku 2020. godine (prikladno, u isto vrijeme se proširila pandemija covid19) te ubrzo postao najpopularniji i jedan od najboljih infostealer programa dostupnih na crnom tržištu. O popularnosti RedLinea svjedoči i broj detekcija koje je provela tvrtka za kibernetičku sigurnost Lumu technologies (Slika 4).

RedLine bi zarazio žrtvino računalo oponašajući e-mail tvrtke koja je radila legitimno istraživanje vezano za pronalazak cjepiva za covid19 te je u kratkom roku postigao rekordne brojke.

Na crnom tržištu dostupan je po cijeni od 100-150$ ili mjesečnoj pretplati od 100$. RedLine prikuplja PII podatke kao što su podatci iz autocomplete-a, pohranjene lozinke i brojeve kartica iz žrtvinog preglednika. Novije verzije RedLinea također omogućuju pregled sistemskih datoteka na žrtvinom računalu,napade na FTP klijente te čak i krađu kriptovaluta. Sve prikupljene informacije o žrtvi RedLine periodički šalje korisniku.

Slika 4. Detekcije infostealera provedene od tvrtke Lumu technologies [3]

Lumma stealer je infostealer napisan u programskom jeziku C koji se prvi puta pojavio na Ruskom crnom tržištu u kolovozu 2022. godine. Razvio ga je programer poznat na Ruskim forumima pod aliasom Lumma, po čemu je alat dobio ime. Do 2024. godine Lumma stealer našao se pri vrhu trendova na malware tržištu.

Ovaj infostealer namijenjen je krađi kriptovaluta i dvofaktorskih (engl. 2FA - two factor authentication) ekstenzija u web preglednicima. Žrtvino računalo najčešće zarazi preko lažnih CAPTCHA verifikacija. Ukradeni podatci šalju na C2 (Command and Control) server preko HTTP POST zahtjeva korištenjem TeslaBrowser/5.5 klijenta. Detaljnija analiza Lumma stealer-a i načina kako funkcionira dostupna je na sljedećoj poveznici: [10]

Slika 5. Proces zaraze i krađe podataka alatom Lumma stealer. [10]

U veljači 2024. godine, kompanija Chance Healthcare morala je platiti 22 milijuna dolara otkupnine ALPHV/BlackCat skupini, nakon upada u njihov Citrix portal pomoću podataka za prijavu jednog zaposlenika. Na portalu nije bilo nikakve multifaktorske zaštite (MFA). Više informacija dostupno je na poveznici: [11].

Brazilski haker USDoD objavio je na hakerskom forumu 11. rujna 2023. godine ukradene informacije o preko 3200 osoba ukradenih Airbus-u pomoću podataka za prijavu jednog zaposlenika Turkish Airlines-a. Podatci su ukradeni RedLine infostealerom, nakon što je zaposlenik pokušao preuzeti piratizirani .NET softver. Više informacija dostupno je na poveznici:[12].

Glavna posljedica je uvijek krađa osobnih podataka (PII), te ovisno o vrsti ukradenih podataka posljedice se mogu razlikovati. Neke od najčešćih posljedica su:

• Krađa identiteta (engl. identity theft)
• Neovlaštene financijske transakcije (engl. financial fraud)
• Ransomware napadi
• Krađa sesije (engl. session hijack)
• Curenje osobnih/poslovnih informacija (engl. data leak)
• Blokiranje korisničkih računa
• Povrede ili potpuni gubitak podataka

• Koristiti antivirusne programe i stalna aktualizacija istih
• Izjegavati sumnjive poveznice i web stranice
• Redovito raditi sigurnosne preglede računala
• Koristiti snažne lozinke i jedinstvene za svako web mjesto
• Redovito čistiti podatke web preglednika

Aktualni trendovi među malware-ima: [13]

Službene stranice HudsonRock organizacije koja nudi rješenja pri zaštiti od malicioznih napada, redovito prati i analizira indicente, napade, ranjivosti i ostale novosti u kibernetičkom svijetu: [14]

Službene stranice HudsonRock-a za infostealer novosti: [16]

Kako se Windows defender nosi s 100 najboljih infostealera na tržištu: [15]

Infostealeri predstavljaju sve veću prijetnju u svijetu kibernetičke sigurnosti, posebice zbog svoje učinkovitosti pri krađi osjetljivih podataka i uporabi istih za nanošenje štete. Njihova široka dostupnost na dark web-u i jednostavna implementacija čine ih privlačnima za kibernetičke kriminalce svih razina tehničkog znanja. Nažalost, broj potvrđenih napada infostealerima svakim danom raste, zbog činjenice da se vrlo lako mogu infiltrirati u žrtvino računalo, pogotovo naglom popularizacijom online usluga i servisa. Teško ih je otkriti te često kad su otkriveni, već bude prekasno. Organizacije i pojedinci moraju uložiti napore u jačanje svojih sigurnosnih praksi, poput korištenja snažnih lozinki, višefaktorske autentifikacije i redovitog ažuriranja softvera. Također, praćenje aktivnosti infostealera i razumijevanje njihovih tehnika ključni su za pravovremeno otkrivanje prijetnji. Kroz kombinaciju svijesti, naprednih alata za praćenje i proaktivnih mjera, moguće je smanjiti rizik i zaštititi podatke od ovih sofisticiranih prijetnji.

[1] Općenito o infostealerima: https://proton.me/blog/infostealers

[2] Općenito o infostealerima: https://en.wikipedia.org/wiki/Infostealer

[3] Općenito o infostealerima: https://lumu.io/blog/infostealers-silent-threat-compromising-world/

[4] Općenito o infostealerima: https://www.infostealers.com/article/botnets-are-dead-long-live-infostealers-a-comparison/

[5] Zeus infostealer (PDF): Zeus_king_of_bots

[6] Enciklopedija malware-a: https://malpedia.caad.fkie.fraunhofer.de

[7] Više o PII: https://matomo.org/personally-identifiable-information-guide-list-of-pii-examples/

[8] Kaspersky laboratorij: https://www.kaspersky.com

[9] RedLine infostealer: https://nordvpn.com/blog/redline-stealer-malware/

[10] Lumma stealer: https://blog.qualys.com/vulnerabilities-threat-research/2024/10/20/unmasking-lumma-stealer-analyzing-deceptive-tactics-with-fake-captcha

[11] Chance Healthcare indicent: https://www.scworld.com/news/change-healthcare-incident-caused-by-compromised-citrix-credentials

[12] Airbus USDoD indicent: https://thecyberexpress.com/airbus-cyber-attack-usdod-turkish-airlines/

[13] HudsonRock službene stranice: https://www.hudsonrock.com

[14] Malware trendovi: https://any.run/malware-trends/

[15] Windows defender protiv 100 infostealera: https://www.youtube.com/watch?v=rcfjjiv_mtU

[16] HudsonRock infostealer novosti: https://www.infostealers.com