Компания Group-IB, анализирующая вопросы кибербезопасности, подготовила отчёт по активности применения стилеров за первые семь месяцев 2022 года. Объясняем, что это такое и как защититься от воровства данных.
Что за стилеры?
Стилеры — вредоносные программы, которые крадут сохранённые в браузерах логины и пароли, файлы cookie, реквизиты банковских карт и криптовалютных кошельков, а также снимают скриншоты с рабочего стола заражённого устройства. Всё происходит в фоновом режиме: жертва может не догадаться, что подверглась атаке. Наиболее популярные виды стилеров у изученных хакерских групп — RedLine и Racoon. Только три сообщества использовали самописное ПО.
По данным экспертов, за первые семь месяцев 2022 года киберпреступники заразили более 890 000 устройств и извлекли из них свыше 50 млн паролей. Group-IB удалось выявить 34 русскоязычных сообщества, которые устраивают атаки через Telegram.
Продав на теневом рынке данных только логи и реквизиты карт, злоумышленники могли заработать около 350 млн рублей.
Group-IB
Хотя группировки русскоязычные, чаще всего они атакуют США, Бразилию и Индию. Россия находится лишь на 95-й строчке, хотя годом ранее занимала 15-ю позицию. Group-IB считает, что мошенники столкнулись с повышенными рисками уголовного преследования за свои действия на территории страны.
Как выглядит схема?
Махинаторы распространяют стилеры через видео о какой-либо игре или моде на YouTube. Злоумышленник оставляет ссылку на файлообменник, где якобы выложен искомый мод или взломанная версия игры. Причём не обязательно заливать ролик самому, чтобы оставить ссылку в описании, — можно просто указать её в комментариях к чужому ролику.
Другие методы настолько же банальны. На специализированном форуме о майнинге можно оставить ссылку на «самый эффективный майнер», а в группе «ВКонтакте» с розыгрышами — попросить скачать «образец анкеты для получения приза». Особенно выгодна история с NFT-площадками. Злоумышленник ищет NFT-художника, проверяя наличие средств на его криптокошельке с помощью открытых источников. Затем он связывается с жертвой в соцсети и просит «оценить работы» по присланной ссылке.
Исполнителей, которые распространяют вредоносные ссылки, называют «воркерами». Для их найма действуют Telegram-боты. «Воркерам» обещают денежное вознаграждение, но перед началом работы предоставляют инструкции для достижения наибольшей эффективности. Далее исполнители получают сам вирусный файл от администратора.
Как защититься?
Специалисты Group-IB перечислили несколько рекомендаций для интернет-пользователей:
- Не скачивайте и не устанавливайте ПО из сомнительных источников. Если же это необходимо, стоит проверить файл на вирусы через сервисы вроде VirusTotal.
- Для установки лучше использовать виртуальную машину или компьютер, где не хранится чувствительная информация.
- Не сохраняйте пароли и данные банковских карт в браузере и в незащищённых текстовых файлах. Лучше использовать менеджеры паролей, например KeePass.
- Регулярно очищайте cookie-файлы браузера для минимизации рисков.