Корпоративний периметр більше не обмежується стінами фізичного офісу чи навіть "захистом" VPN. Сьогодні він знаходиться в активних вкладках браузерів ваших віддалених працівників. І прямо зараз головною зброєю первинного доступу для зловмисників є не складний "експлоїт нульового дня" (zero-day exploit), а просте, широко поширене шкідливе програмне забезпечення, відоме як інфостілер (InfoStealer).
Згідно з останніми звітами про кіберзагрози, сучасні інфостілери можуть зібрати та викрасти облікові дані з браузера менш ніж за хвилину після запуску. Ці викрадені дані з'являються на ринках даркнету вже через 24-48 годин, що дає змогу швидко здійснювати мережеві злами.
Що таке інфостілер (InfoStealer)?
Інфостілери (такі як Lumma, Redline, Vidar або RAT-програми на кшталт Agent Tesla) - це шкідливе програмне забезпечення, створене з єдиною метою: зібрати та викрасти все цінне, що зберігається у веб-браузерах користувача. На відміну від застарілих кейлогерів, сучасні інфостілери непомітно вивантажують наступне:
- Збережені імена користувачів та паролі (бази даних автозаповнення).
- Активні сесійні файли cookie (що дозволяє зловмисникам обходити багатофакторну автентифікацію, MFA).
- Конфігурації криптовалютних гаманців.
- Розширення браузера, локальні файли даних та відбитки апаратного забезпечення системи (hardware fingerprints).
Після запуску шкідливе ПЗ компілює ці дані в структурований архів, відомий як "лог" (log), і негайно відправляє його на панель збору даних зловмисників або до Telegram-бота. Протягом кількох годин ці логи завантажуються на автоматизовані торгові майданчики даркнету (наприклад, Russian Market) або розповсюджуються через Telegram-канали, надаючи покупцям миттєвий доступ до скомпрометованих облікових даних.
Непомітний обхід багатофакторної автентифікації (MFA)
Багато організацій вважають, що впровадження багатофакторної автентифікації (MFA) або єдиного входу (SSO) робить їх сесії невразливими. Проте, оскільки інфостілери витягують реальні сесійні токени (cookies) вже автентифікованих сесій, зловмисник запросто може імпортувати ці файли cookie у спеціально підготовлений браузер. Для цільового сервісу (будь то Dropbox чи будь-який інший відомий корпоративний ресурс) зловмисник виглядатиме як легітимний співробітник, що повертається до своєї активної сесії - без потреби вводити пароль чи код MFA ще раз.
Чи є ваші корпоративні чи особисті дані в даркнеті?
Оскільки такі "зараження" відбуваються на особистих пристроях, що використовуються для роботи, домашніх комп’ютерах або через випадкові завантаження (замасковані під "зламане" чи "активоване з коробки" ПЗ, програми для читання PDF або чити для відеоігор), співробітники часто навіть не підозрюють, що їхні облікові дані були викрадені.
Щоб допомогти вам негайно та безпечно перевірити можливий витік даних, AXON Security розробила онлайн-інструмент AXON Breach Check.
Перевірте свої дані безпечно та анонімно
Ми переконані, що інструменти безпеки повинні поважати вашу приватність. Традиційні сервіси перевірки вимагають від вас надати їм свої дані у відкритому вигляді, які потім можуть потрапити до їхніх маркетингових списків чи баз даних. Новий інструмент AXON Breach Check працює за принципом суворої обробки на стороні клієнта (client-side processing):
- Нульове логування введених даних (Zero Input Logging): Ваші запити обробляються виключно всередині вашого локального браузера. Ми ніколи не записуємо і не зберігаємо введені вами електронні адреси чи імена користувачів.
- Безпечна перевірка діапазону паролів (Secure Password Range Checking): Для перевірки паролів ми використовуємо безпечну модель API k-anonymity. Лише перші 5 символів SHA-1 хешу вашого пароля надсилаються для перевірки витоку, що дозволяє зберегти сам пароль у таємниці.
- Зіставлення з даними розвідки загроз (Threat Intelligence Matching): Перевірка електронної пошти на предмет витоків у відомих базах даних та активних логах шкідливого ПЗ інфостілерів.
Захист вашої організації починається з виявлення місць витоку. Перейдіть за посиланням нижче, щоб негайно перевірити свої електронні адреси та паролі.