Вредоносным программам для сбора данных не составляет труда получить сохраненную в браузере информацию, в том числе логины и пароли. Что и как воруют современные трояны-стилеры, рассказали специалисты «Лаборатории Касперского» в профильном обзоре вредоносной активности в первой половине 2019 года.

В период с января по июнь антивирусные решения компании зафиксировали атаки инфостилеров у более чем 940 тыс. пользователей. Год назад этот показатель не достиг и 600 тыс., что позволяет говорить о росте спроса на краденые данные.

Сохраненные пароли можно извлечь из любого браузера

Несмотря на то что каждый браузер использует собственный механизм защиты сохраненных паролей, киберпреступники легко могут получить список секретных ключей, запустив зловред с привилегиями пользователя. Так, интернет-обозреватели на основе движка Chromium хранят зашифрованные учетные данные в базе SQLite, откуда их можно извлечь стандартными методами. Для декодирования полученного массива информации злоумышленники используют типовой механизм Data Protection API (DPAPI)  — точно так же, как это сделал бы легитимный пользователь.

Для взлома хранилища браузера Firefox вредоносные программы применяют стандартную библиотеку nss3.dll, которая извлекает зашифрованные данные из JSON-токенов или БД SQLite. Как отмечают аналитики «Лаборатории Касперского», авторы некоторых зловредов добавили необходимые операторы в код своих разработок и могут декодировать файлы с учетными сведениями без сторонних DLL. Важной особенностью Firefox является наличие механизма мастер-ключа, который может предотвратить кражу данных, однако у большинства пользователей обозревателя эта функция не активирована.

Создатели браузеров Internet Explorer и Edge меняют место хранения и механизм защиты пользовательской информации от версии к версии, однако стилеры это не останавливает. Так, соль, используемая IE 7 и 8 для усложнения расшифровки паролей, имеет постоянное значение и давно известна злоумышленникам. Новое хранилище Vault, применяемое в IE 9 и Edge, так же как и в случае с Firefox, вскрывается специальной библиотекой — в данном случае vaultcli.dll.

На криминальном рынке лидируют многофункциональные стилеры

Возможности большинства инфостилеров, предлагаемых в дарквебе, гораздо шире, чем кража паролей из браузеров. Многофункциональные коммерческие разработки, такие как Azorult, способны копировать файлы определенного типа из заданных каталогов, делать снимки экрана и угонять аккаунты FTP-клиентов. Трояны, нацеленные на кражу конкретной информации, тоже пользуются спросом, но они обычно предоставляются в пользование в виде исходных кодов.

Чаще всего продукты «Лаборатории Касперского» обнаруживали атаки стилеров в России, Индии, Бразилии, Германии и США. В первом полугодии 2019-го отечественные пользователи подвергались нападениям таких зловредов более 100 тыс. раз.

В апреле этого года стало известно, что создатели инфостилера Baldr начали активно продвигать свою разработку на криминальном рынке. Программа обладает широким набором функций и способна угонять аккаунты жертв в мессенджерах, красть данные криптокошельков и пересылать злоумышленникам пользовательские файлы.

Категории: Аналитика, Вредоносные программы, Главное