Вы когда-нибудь задумывались, почему после чистой установки Windows или покупки нового ноутбука в системе оказывается куча программ, которые вы не устанавливали? Производители ноутбуков называют это "полезными утилитами", Microsoft — "рекомендованными приложениями". Но правда в том, что значительная часть этого софта ведет себя как самый настоящий шпион: собирает данные о вас, ваших привычках, паролях и отправляет их на свои серверы.
Сегодня речь пойдет не о троянах, которые можно поймать на сомнительных сайтах. Речь о программах, которые попадают на компьютер легально — через предустановку производителем или через "автоматические обновления" Windows. Они невидимы, они встроены глубоко в систему, и они постоянно следят за каждым нажатием клавиш. Антивирусы их не трогают, потому что формально это не вредоносное ПО. Но по факту — это цифровые шпионы, живущие у вас в кармане или на столе.
В этом материале, подготовленном при участии технических специалистов, речь пойдет о том, какие программы на вашем компьютере на самом деле крадут пароли, как их обнаружить и уничтожить.
Больше полезных материалов о кибербезопасности, защите данных и разоблачении скрытых угроз можно найти в телеграм-канале Не баг, а фича. Там ежедневно разбираются ситуации, когда техника и софт ведут себя не так, как должны.
🎭 Что такое "стилеры" и почему они страшнее вирусов
В мире кибербезопасности есть специальный термин — infostealer (информационный вор) или просто "стилер" . Это категория вредоносных программ, созданных с единственной целью: найти на вашем компьютере все сохраненные пароли, данные банковских карт, файлы cookie и переслать их злоумышленнику .
В отличие от вирусов-вымогателей, которые блокируют компьютер и требуют деньги, стилеры работают тихо. Их задача — оставаться незамеченными как можно дольше. Они сканируют жесткие диски в поисках файлов с названиями вроде "passwords.txt", "wallet.dat" или "backup.zip". Они воруют базы данных браузеров, где хранятся все ваши логины и пароли .
Опасность стилеров в том, что их крадут не только у отдельных пользователей. Часто жертвами становятся компании: сотрудник переходит по фишинговой ссылке, стилер попадает на корпоративный компьютер и уводит пароли от CRM, бухгалтерии или корпоративной почты . Дальше эти данные продаются на теневых форумах, и через месяц компания обнаруживает, что конкуренты знают все ее коммерческие тайны.
Однако стилеры — это внешняя угроза. Есть угроза внутренняя, которая сидит в системе с момента ее установки.
📦 Предустановленный шпионаж: что ставят производители
Представьте: вы купили новый ноутбук известного бренда. Включили, прошли приветственную настройку и видите рабочий стол, на котором уже есть ярлыки. Среди них — "Магазин приложений бренда", "Центр обновлений", "Утилита для поддержки" и еще пара десятков программ с невнятными названиями.
Большинство пользователей считает это "нужными драйверами" и не трогает. На самом деле это bloatware — программы-паразиты, за которые производитель получил деньги от разработчиков, чтобы установить их вам на компьютер. Среди этого мусора часто прячутся настоящие шпионы.
Примеры предустановленного ПО с сомнительной репутацией:
- Программы для "оптимизации" системы типа CCleaner (в версиях после 2017 года были инциденты с кражей данных), Advanced SystemCare, различные "бустеры" и "твикеры". Они запрашивают доступ ко всем файлам системы, "чистят реестр" и при этом собирают информацию о том, какие программы вы используете.
- Утилиты производителя для "улучшения работы" — программы, которые следят за температурой, обновляют драйверы, проверяют здоровье диска. Формально они нужны, но часто они имеют встроенную телеметрию, которая передает производителю список всех установленных приложений, серийные номера комплектующих и даже данные о том, какие сайты вы посещаете.
- Браузерные расширения и панели инструментов, предустановленные в системе. Они могут изменять поисковую систему по умолчанию, перехватывать трафик и перенаправлять на рекламные страницы. А некоторые собирают историю браузера и отправляют ее на свои серверы для "улучшения качества рекомендаций" .
Эти программы не считаются вирусами, потому что они подписаны цифровыми сертификатами крупных компаний. Антивирусы доверяют этим сертификатам и пропускают их. Но от того, что программа легальна, ваши пароли перестают быть украденными.
🔐 Как браузеры становятся добычей
Самая лакомая цель для любого шпионского ПО — это браузеры. Chrome, Edge, Opera, "Яндекс Браузер" хранят у себя базы данных со всеми паролями, которые вы когда-либо сохраняли . В Windows эти базы данных лежат в открытом виде (зашифрованы, но ключ шифрования тоже хранится в системе).
Любая программа, запущенная от имени пользователя, может запросить доступ к этим файлам. И большинство пользователей даже не узнает об этом. Современные стилеры умеют извлекать пароли из десятков различных приложений :
- Браузеры на базе Chromium: Chrome, Edge, Brave, Opera, Vivaldi, "Яндекс Браузер".
- Почтовые клиенты: Outlook, Thunderbird.
- FTP-клиенты: FileZilla, WinSCP.
- Мессенджеры: Discord, Telegram Desktop, Skype.
- Игровые платформы: Steam, Epic Games, Minecraft, Roblox.
- Криптовалютные кошельки: Exodus, Electrum, Coinomi.
Особую опасность представляют стилеры, которые крадут cookies сессий. Даже если у вас включена двухфакторная аутентификация, злоумышленник может украсть активную сессию из cookies и зайти в ваш аккаунт, вообще не вводя пароль и код подтверждения.
🍏 Угроза для macOS: миф о неуязвимости
Долгое время считалось, что Mac — это безопасная система, на которой вирусов не бывает. Это опасное заблуждение. Шпионское ПО для macOS существует и активно развивается .
Яркий пример — стилер Banshee, обнаруженный в конце 2024 года . Эта вредоносная программа нацелена на кражу данных из браузеров и системного хранилища паролей macOS — Keychain (Связка ключей).
Как работает Banshee:
- Он собирает данные из профилей восьми различных браузеров.
- Ворует не только базы данных паролей, но и ключи шифрования из Keychain.
- Использует поддельные окна аутентификации, созданные через AppleScript, чтобы выманить пароль у самого пользователя .
- Проверяет украденные пароли в реальном времени через службы каталогов macOS.
- Быстро отправляет данные на серверы злоумышленников через HTTP POST-запросы.
Особенность Banshee в том, что он не пытается закрепиться в системе надолго. Он работает по принципу "быстрого налета": украл данные и исчез. Обнаружить его после этого практически невозможно, а данные уже проданы на черном рынке .
🤖 Новые методы кражи: Credential Flusher
Киберпреступники постоянно совершенствуют методы атак. В 2024 году эксперты обнаружили новую вредоносную кампанию, использующую скрипт Credential Flusher (очиститель учетных данных) .
Этот метод атакует пользователей Google Chrome оригинальным способом: вредоносная программа блокирует браузер в режиме киоска. В этом режиме браузер занимает весь экран, из него нельзя выйти стандартными способами, и он показывает только одну страницу — страницу входа в Google .
Пользователь оказывается в ловушке: перед ним окно входа, он не может закрыть браузер, не может переключиться на другие приложения. Единственный способ продолжить работу — ввести свой пароль от Google-аккаунта. После ввода пароль сохраняется в хранилище браузера, и тут же в дело вступает другой компонент вредоносной программы (например, StealC), который этот пароль крадет .
Этот метод показывает, насколько изобретательными стали злоумышленники. Они больше не пытаются незаметно украсть данные в фоне — они заставляют пользователя добровольно отдать пароль, используя психологическое давление.
📱 Мобильная угроза: шпионы в кармане
Смартфоны — это настоящая золотая жила для шпионского ПО. В телефоне хранятся контакты, переписки в мессенджерах, фотографии, геолокация, банковские приложения. И мобильные шпионы становятся все изощреннее.
LianSpy — шпионское ПО для Android, обнаруженное в 2024 году и нацеленное specifically на российских пользователей . Эта программа активна с июля 2021 года и обладает пугающими возможностями:
- Перехват скринкастов (запись экрана в реальном времени).
- Извлечение файлов пользователя.
- Сбор журналов вызовов и списков установленных приложений.
- Использование "Яндекс Диска" для хранения украденных данных и получения команд .
LianSpy маскируется под системные приложения, скрывает свой значок из меню приложений и использует сложное шифрование для хранения украденных данных. Обнаружить его обычными средствами практически невозможно .
Другая угроза — приложения для Android, которые невозможно удалить обычным способом. Они используют функцию администратора устройства и при попытке удаления запрашивают пароль, который знает только установивший их человек . Обычно такие приложения попадают на телефон через физический доступ к устройству (например, их устанавливают ревнивые партнеры или работодатели) .
Как удалить такое приложение? Только через загрузку в безопасном режиме, где сторонние программы временно отключаются, и можно снять права администратора и удалить приложение .
🛡️ Как обнаружить шпиона: признаки заражения
Шпионское ПО старается быть незаметным, но полностью скрыть свою деятельность невозможно. Есть косвенные признаки, которые должны вызвать подозрение :
На компьютере:
- Необъяснимое замедление работы, особенно при загрузке системы.
- Постоянная активность жесткого диска или сетевого адаптера в простое.
- Подозрительные процессы в диспетчере задач с непонятными названиями.
- Внезапно появляющиеся окна командной строки (cmd) и их быстрое исчезновение.
- Изменение настроек браузера без вашего участия (домашняя страница, поисковая система) .
На смартфоне:
- Батарея стала разряжаться заметно быстрее без видимых причин .
- Резко вырос расход мобильного интернет-трафика.
- Телефон самопроизвольно перезагружается или выключается.
- Индикатор камеры или микрофона загорается, когда вы их не используете .
- В списке приложений появляются программы с названиями вроде "System Service" или "Update Service", которые нельзя удалить .
Поведенческие признаки:
- Собеседники демонстрируют знание деталей ваших личных разговоров .
- Вам начинает показываться целевая реклама того, о чем вы недавно говорили (это может быть совпадением, но иногда это признак прослушки).
- Приходят уведомления о входе в ваши аккаунты с незнакомых устройств.
🧹 Инструменты для зачистки: чем удалять шпионов
Для борьбы со шпионским ПО существуют специализированные инструменты.
Yandex Rescue Tool — встроенная утилита в "Яндекс Браузере", которая автоматически собирает данные о нежелательном ПО в системе и предлагает его удалить . Она ищет:
- Модифицированные параметры запуска системы (когда после перезагрузки открывается рекламный сайт).
- Драйверы-фильтры, перехватывающие трафик и подменяющие рекламу.
- Подмену DNS-серверов.
- Модификации ярлыков браузера (когда в ярлык добавляется адрес сайта).
- Нежелательные расширения браузера .
Как включить: Настройки браузера → Безопасность → Защита от угроз → "Устранять угрозы автоматически в фоновом режиме" .
Для более серьезной очистки существуют специализированные антивирусы и антишпионские программы. Однако важно понимать, что ни одна программа не дает 100% гарантии. Профессиональные стилеры и шпионы могут обходить даже самые современные средства защиты.
В сложных случаях (подозрение на правительственный шпионаж или сталкерское ПО от бывшего партнера) имеет смысл обратиться к специалистам по кибербезопасности, которые проведут глубокий анализ системы .
🔒 Как защититься: базовые правила
Предотвратить заражение проще, чем лечить последствия.
Правило 1. Минимизация предустановленного ПО
При покупке нового компьютера не ленитесь удалить все программы, которые вы не устанавливали сами. Особенно:
- Пробные версии антивирусов (они часто конфликтуют друг с другом и создают уязвимости).
- "Центры обновлений" и "Магазины приложений" от производителя.
- Любые программы, названия которых вы не понимаете.
Правило 2. Контроль разрешений
На смартфонах регулярно проверяйте, какие разрешения имеют установленные приложения. Если фонарик просит доступ к контактам, а калькулятор — к микрофону, это повод насторожиться .
Правило 3. Многофакторная аутентификация (MFA)
Даже если пароль украден, вход в аккаунт можно заблокировать вторым фактором. Используйте приложения-аутентификаторы (Google Authenticator, Microsoft Authenticator), а не SMS (SMS перехватывать легче) .
Правило 4. Регулярная смена паролей
Особенно для критически важных аккаунтов (почта, банки, соцсети). Если вы подозреваете утечку, меняйте пароли немедленно .
Правило 5. Менеджеры паролей
Использование встроенного в браузер хранилища паролей удобно, но небезопасно. Специализированные менеджеры паролей (например, Bitwarden, KeePass) хранят данные в зашифрованном виде и требуют мастер-пароль для доступа. Стилерам сложнее добраться до этих данных.
Правило 6. Осторожность с вложениями
Никогда не открывайте вложения в письмах от незнакомцев. Даже если письмо пришло от знакомого, но выглядит подозрительно — лучше уточнить по телефону, он ли его отправлял .
Правило 7. Обновление ПО
Регулярно обновляйте операционную систему и приложения. Многие уязвимости, через которые проникают стилеры, закрываются в обновлениях.
🧩 Реестр и скрытые службы
Шпионское ПО часто прячется в системном реестре Windows или в скрытых службах. Вот несколько мест, которые стоит проверить вручную, если есть подозрения:
Автозагрузка:
Откройте Диспетчер задач → вкладка "Автозагрузка". Изучите все программы, запускающиеся вместе с системой. Незнакомые названия гуглите.
Службы:
Нажмите Win+R, введите services.msc. Просмотрите список служб. Если есть службы с названиями без описания производителя или с подозрительными именами, проверьте их в интернете.
Планировщик задач:
Win+R → taskschd.msc. В библиотеке планировщика задач могут скрываться задания, запускающие вредоносные скрипты по расписанию.
Реестр:
Win+R → regedit. Особое внимание на ветки автозагрузки:
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Любые подозрительные записи с путями к исполняемым файлам в папках Temp или AppData должны быть проверены.
💣 Главный вывод: доверяй, но проверяй
В современном цифровом мире доверие программам по умолчанию — роскошь, которую нельзя себе позволить. Windows, macOS, Android — все эти системы имеют встроенные механизмы телеметрии и сбора данных. Крупные корпорации собирают информацию о пользователях, чтобы продавать рекламу или "улучшать продукты". Злоумышленники собирают информацию, чтобы воровать деньги и шантажировать.
Предустановленный софт на новых компьютерах — это не подарок, а потенциальная угроза. Чем больше программ, тем больше вероятность, что какая-то из них окажется уязвимой или просто вредоносной.
Лучшая стратегия защиты — минимализм. Чистая установка операционной системы с официального дистрибутива, установка только необходимых программ из проверенных источников, регулярный аудит разрешений и автозагрузки. И конечно — критическое отношение ко всему, что происходит на экране.
Если браузер вдруг показывает окно входа там, где его не должно быть — не вводите пароль. Если компьютер тормозит, а индикатор сетевой активности горит постоянно — проверьте, какие программы выходят в интернет. Если смартфон греется в кармане, хотя вы им не пользуетесь — возможно, он в это время передает ваши данные кому-то другому.
Бдительность — главное оружие против цифрового шпионажа.
Больше полезных материалов о кибербезопасности, защите персональных данных и методах обнаружения скрытых угроз можно найти в телеграм-канале Не баг, а фича. Подписка поможет не пропускать новые разоблачения!