A modern információlopó kártevők (infostealerek) működése jelentősen túlmutat a hagyományos felhasználónév–jelszó párosok megszerzésén. A fertőzések során komplex adatgyűjtést végeznek, hitelesítő adatokat, munkamenet-információkat, böngészési előzményeket, sütiket, rendszer- és környezeti metaadatokat aggregálnak, majd ezeket strukturált formában értékesítik vagy további támadási műveletekben hasznosítják. Az így előállított adathalmazok egyaránt alkalmasak személyes és vállalati környezetek célzott kompromittálására.
A Specops kutatói több, mint 90 ezer infostealer-dumpot elemeztek, mintegy 800 millió rekordot vizsgálva. Megállapításuk szerint az ilyen adatkészletek (kezdve a sütiken és böngészési előzményeken át a rendszerfájlokig) lehetővé teszik a támadók számára, hogy a technikai adatokat valós személyekkel, szervezetekkel és viselkedési mintákkal társítsák.
A legnagyobb kockázat abból fakad, hogy a megszerzett hitelesítő adatok különböző szolgáltatásokban használt fiókokat kapcsolnak össze egyetlen valós felhasználóval. Az infostealer-adatok jellemzően a következőket tartalmazzák: felhasználói könyvtárak elérési útvonalai, Windows-felhasználónevek, aktív munkamenet-azonosítók, valamint alkalmazás- és böngészőszintű naplóadatok. Ezek együttes elemzése alapján a támadó nemcsak azonosítani tudja a felhasználót, hanem következtetni képes a munkáltatójára és a szervezeten belüli szerepére is. Különösen problémás, amikor a vállalati környezetben alkalmazott biztonságtudatos gyakorlatok nem minden esetben terjednek ki a személyes eszközökre. Amennyiben egy magánhasználatú rendszer kompromittálódik, az azon tárolt vagy újrafelhasznált hitelesítő adatok révén vállalati szintű kockázatot eredményezhet.
Az infostealer-adathalmazok jellemzően több szolgáltatást érintenek:
- szakmai és vállalati platformok
- GitHub
- Microsoft Teams
- Outlook
- közösségi hálózatok
- YouTube
- érzékeny vagy magas kockázatú domainekhez kapcsolódó szolgáltatások, beleértve kormányzati, adózási, illetve felnőtt tartalmakhoz kötődő platformokat.
Ez lehetővé teszi a támadók számára a célzott adathalász kampányok előkészítését, social engineering-alapú támadások kivitelezését, valamint kompromittált felhasználói fiókokon keresztül hozzáférést a vállalati rendszerekhez.
Az infostealerek hatékonyságát nagyrészt a felhasználói oldalon megjelenő gyakorlatok biztosítják. Ide tartozik az alkalmazások nem megbízható forrásból történő telepítése, a jelszavak újrafelhasználása személyes és vállalati fiókok között, valamint a böngészőkben tárolt hitelesítő adatok használata.
A hitelesítő adatok újrafelhasználásának megszüntetése közvetlenül csökkenti az infostealer adatkészletek felhasználhatóságát, és lerövidíti a visszaélések időtartamát. A hosszabb jelmondatokat támogató, szigorúbb jelszóházirend, valamint a szabályok folyamatos és automatizált érvényesítése a jelszóbiztonságot az egyszeri konfigurációs beállítás szintjéről folyamatos, aktív kockázatcsökkentési mechanizmussá emeli.
Összességében a hitelesítő adatok újrafelhasználásának minimalizálása kulcsfontosságú mind a vállalati, mind pedig a személyes identitás védelmében, valamint az infostealer-alapú támadási láncok megszakításában.