Vad Är Infostealers?

en infostealer är en bit av skadlig programvara (malware) som försöker stjäla din information. Mer komplex skadlig kod som banktrojaner (till exempel TrickBot) och stalkerware innehåller vanligtvis infostealer-komponenter.

i de flesta fall innebär detta att stjäla information som kan tjäna pengar för cyberbrottslingar.

här är några saker som brottslingar kan stjäla och förvandlas till pengar:

  • din bankkortinformation kan användas direkt eller säljas vidare till andra som gör inköp med ditt kort,
  • dina kontoinloggningar kan sedan användas för att stjäla dina tidigare inköp (till exempel dina Fortnite eller Animal Crossing-köp i spelet) som kan säljas vidare,
  • dina kontoinloggningar kan köpa nya saker om du sparade ditt bankkort,
  • dina kontoinloggningar kan användas för att sålde sig själva:
    • konton säljs ofta i bulk till andra cyberbrottsspecialister för att de ska försöka tjäna pengar,
    • vissa konton är individuellt värdefulla, till exempel Instagram-eller Snapchat-konton med eftertraktade handtag
  • potentiellt foton och dokument kan användas för utpressning eller tjäna pengar på andra sätt:
    • företag som drabbats av ransomware möter alltmer utsikterna för att deras interna data och immateriella rättigheter publiceras online om de inte betalar
    • i 2014 hade ett stort antal kända kvinnor extremt privata foton stulna från sina iCloud-konton och publicerade, något som har tjänat betydligt på vissa oetiska anslagstavlor och webbplatsägare för pornografi.

kriminella är kreativa och det här är stort, professionellt, företag.

Bank Trojan exempel

Android banking trojan exempel med steg-för-steg skärmdumpar

Android banking trojan exempel med steg-för-steg skärmdumpar

Infostealer attacker kan vara riktigt djävulska.

ta till exempel arbetet med en Android-banktrojan som vi såg sprida i 2017.

användaren får ett SMS med en länk för att ladda ner en app med roliga videor. När de installerar uppmanas de att acceptera behörigheterna för appen. Användaren gör det utan tvekan utan att kontrollera, för i alla fall förstår ingen alla dessa behörigheter.

appen har några riktiga “roliga videor” inuti.

ändå är det verkliga jobbet att vänta på att du öppnar din bankapp. När den ser att du gör det ser den ut i sitt bibliotek med bankappar och använder behörigheten du gav den för att rita ovanpå inloggningsskärmen på din bankapp med en falsk exakt kopia av inloggningsskärmen.

du anger dina inloggningsuppgifter och det stjäl ditt användarnamn och lösenord. Samtidigt loggar du in i den verkliga appen som är dold bakom den identiska falska inloggningsskärmen, så att allt ser normalt ut för dig.

nu väntar trojanen på att du ska avsluta med din bank. Den loggar sedan in i din bank igen utan din hjälp och försöker överföra dina pengar.

när detta händer skickar banken dig en SMS-kod för att bekräfta betalningen – appen fångar koden med ett annat tillstånd du gav det vid installationstiden och raderar även SMS-meddelandet så att du inte vet att något hände.

djävulskt!

inte bara för pengar

medan pengar är den i särklass vanligaste orsaken till infostealer attacker, det är inte den enda anledningen.

precis som med iCloud och många liknande fall är information om våra samhälls mest utsatta människor (kvinnor, barn, LGBTQIA+ – personer, färgade människor och andra) specifikt riktade till dem som försöker utnyttja dessa människor eller orsaka dem våld.

vi vet att det finns skamlösa “lagliga” företag som säljer stalkerware, marknadsför det specifikt till inhemska missbrukare, missbrukande föräldrar och stalkers för att kunna spionera på och kontrollera sina mål. Det är därför F-Secure är en del av den branschövergripande koalitionen mot Stalkerware. Stalkerware är i allmänhet dolda trojaner, som inkluderar en tung del av infostealer – tekniken-att stjäla ett måls foton, samtalshistorik, chatthistorik, Platshistorik och mer.

Infostealers används också som en del av cybermobbning, där åtkomst till ett måls konton kan användas för att posta pinsamt innehåll, Ta bort vänner, ta bort åtkomst eller som en del av en övergripande gaslighting-kampanj.

mer riktade attacker med infostealers begås av regeringar mot aktivister, journalister och oppositionspolitiker, igen med hjälp av skamlösa “lagliga” företag som säljer denna malware och vet hur den kommer att användas.

det ökända 2018-mordet på journalisten Jamal Khashoggi tros till exempel ha involverat infostealer-tekniker som används mot sina kollegor, vilket ledde till mordet på en av hans källor och potentiellt har använts för att känna till hans schema i förväg för att planera sitt mord.

vidare i början av 2020 lärde vi oss om liknande programvara som används mot världens rikaste person, Jeff Bezos, troligen på grund av rapportering från Washington Post tidningen att han äger.

Hur Vanliga Är Infostealers?

enligt F-Secures data som just publicerats i vår H1 2020 Attack Landscape Report dominerar infostealers nu de 20 Bästa malware-hoten som användarna står inför.

om du inkluderar trojaner och råttor (Remote Access Trojans) som också innehåller infostealer element, skadlig kod som stjäl din information utgör 18 av de 20 hot F-Secure har varit tvungen att skydda våra användare från.

 Topp 20 hot ses av F-Secure i H1 2020

Topp 20 hot ses av F-Secure i H1 2020

Infostealers dominerar också skräppostmeddelandet som våra användare får, med 75% av de e-postbilagor med coronavirus-tema som vi såg distribuera antingen Lokibot eller Formbook, infostealers som hittades levererade i 38% respektive 37% av COVID-bilagor.

exempel på en verklig värld spam e-post, låtsas vara från en stor bank, används för att distribuera Lokibot infostealer/trojan.

exempel på en verklig värld spam e-post, låtsas vara från en stor bank, används för att distribuera Lokibot infostealer/trojan.

under den senaste månaden i Finland, 131 av 10K användare hade en infostealer eller trojan infektion Försök blockeras av vår programvara – 64% av alla hot inför.

 topp 10 hot som upptäckts av F-Secure End-Point Protection software i Finland under den senaste månaden (2020-Sep)

topp 10 hot som upptäckts av F-Secure End-Point Protection software i Finland under den senaste månaden (2020-Sep)

hot som upptäckts av F-Secure End-Point Protection software i Finland under den senaste månaden (2020-Sep) delat efter typ av hot

hot som upptäckts av F-Secure End-Point Protection software i Finland under den senaste månaden (2020-Sep) delat efter typ av hot

för Sverige var det 149 av alla 10K-användare som hade en infostealer eller trojan infektion Försök blockeras av vår programvara, eller 47% av alla hot inför.

 topp 10 hot som upptäckts av F-Secure End-Point Protection software i Sverige under den senaste månaden (2020-Sep)

topp 10 hot som upptäckts av F-Secure End-Point Protection software i Sverige under den senaste månaden (2020-Sep)

hot som upptäckts av F-Secure End-Point Protection software i Sverige under den senaste månaden (2020-Sep) delat efter typ av hot

hot som upptäckts av F-Secure End-Point Protection software i Sverige under den senaste månaden (2020-Sep) delat efter typ av hot

Hur får Infostealers mig?

den stora majoriteten av alla malware infektion, inklusive infostealers, kommer via skräppost.

infektionen sker antingen via en bilaga till e-postmeddelandet eller en skadlig webbplats länkad i e-postmeddelandet.

för webbplatser, under de senaste åren de flesta infektioner kommer från att lura dig att manuellt ladda ner och installera programvara från webbplatsen. Vi ser fortfarande en minoritet av fall där direkt infektion sker utan din hjälp via “exploit kits”.

samma tekniker som används av skräppost för att lura människor att installera och klicka används också via SMS, Whatsapp, Facebook Messenger och till och med via telefonsamtal.

återigen är brottslingar kreativa och ihållande. De behöver bara ett fåtal personer att klicka för att göra hela kampanjen lönsam.

i de flesta fall är du inte specifikt målet – snarare skickar brottslingarna sitt bete till tusentals eller miljoner människor och väntar på att några personer klickar och gör brottslingens dag.

det finns några vanliga sätt att brottslingar (och annonsörer!) använd för att försöka få oss att stänga av hjärnan och klicka bara.

det här är saker som bör få dig att pausa och gå försiktigt när du ser dem:

  • “gratis” – bara det ordet räcker i många fall för att få en försäljning. Köparen akta!
  • på samma sätt, allt som är “för bra för att vara sant” – vann du verkligen bara en betald resa runt om i världen? Fick du verkligen bara en lista över alla dina chefers löner av misstag? Förmodligen inte.
  • brådskande – “skynda skynda, bara fem minuter kvar” – om någon försöker få dig att påskynda, är det en mycket bra tid att sakta ner och titta noga.
  • Insider knowledge – de vet din födelsedag, din chefs namn och var du gick i skolan måste det vara riktigt. Förutom all den informationen är lätt tillgänglig online. Ge dem inte ytterligare information innan du är säker på att de är vem de säger att de är.
  • Authority-oavsett om det är FBI “fånga dig” gör något stygg på din dator, eller din chef berättar att skynda och överföra en miljon dollar för en super hemlig affär, kom ihåg att det är mycket lätt att låtsas vara någon annan via e-post, text eller andra program.

i alla dessa fall kan du överväga att leta upp det verkliga telefonnumret eller e-postadressen till den personen eller organisationen i din interna företagskatalog eller din regerings/Banks officiella webbplats och ringa tillbaka för att kontrollera innan du vidtar en åtgärd.

här är några fler exempel på tricks som används i nyligen nytt koronavirusrelaterat skräppost.

Hur Kan Jag Vara Säker?

det viktigaste sättet att skydda dig mot infostealers är att installera bra anti-malware program på dina enheter. Anti-malware programvara skyddar dig på tre huvudsakliga sätt.

det första sättet är genom att direkt stoppa infostealer programvara som försöker installera eller köra på enheten. Det kan stoppa en infostealer både genom att känna igen den dåliga programvaran direkt (så kallade “signaturer”) och genom att känna igen dess beteende (så kallad “nästa gen”-upptäckt).

det andra sättet är via stoppa du besöker skadliga webbplatser som är källan till en hel del av dessa infektioner – med andra ord “surfa skydd”.

och det tredje sättet är specifikt för bank och online shopping där bra anti-malware-programvara kommer att aktivera ytterligare skydd när du ansluter till din banks webbplats för att bekräfta att det inte är en falsk, och även för att stoppa andra applikationer och webbläsarflikar som gör något för att störa din anslutning.

naturligtvis kommer ingenting någonsin att ge dig 100% skydd, och inte alla attacker på dina konton och din information kommer via skadlig kod.

av den anledningen är en av de bästa sakerna som de flesta kan göra för att förbättra sin säkerhet att börja använda en lösenordshanterare.

en lösenordshanterare låter dig inte oroa dig även när dina data för en tjänst exponeras, eftersom ditt lösenord är både svårt att knäcka, och även när det är knäckt kommer det bara att ge brottslingarna tillgång till ett konto, inte alla dina konton.

inte bara det, en lösenordshanterare är förmodligen lättare än vad du än gör med dina lösenord idag, tack vare enkel Autofyll på alla dina enheter och behöver aldrig använda “glömt mitt lösenord”.

 Håll dig lugn och använd en lösenordshanterare bärbar klistermärke

Håll dig lugn och använd en lösenordshanterare bärbar klistermärke

naturligtvis på F-Secure är vi lite partiska! Om du vill kan du få vår multi-device anti-malware-lösning och vår lösenordshanterare här. Dessutom innehåller paketet vår ID – skyddslösning som kommer att varna dig om våra mörka/djupa webbskannrar och mänskliga intelligensteam hittar dina data i onlineöverträdelser, och paketet innehåller också vår prisbelönta VPN-lösning.

när du använder en lösenordshanterare, och förhoppningsvis en som meddelar dig när ett brott mot dina data har upptäckts online, är nästa steg att aktivera 2-factor (2FA) eller multi-factor authentication (MFA) på så många av dina konton som möjligt.

MFA hjälper till att skydda dig även om ditt lösenord är stulet, eftersom angriparen fortfarande behöver få din token, förutom ditt lösenord, för att kunna komma åt din information.

kom ihåg Android banking trojan ovan? Det var därför det ville ha tillstånd att läsa dina SMS.

när du slår på MFA, om möjligt ställa in MFA med en one Time Password (OTP) app på telefonen (till exempel FreeOTP) eller med en fysisk OTP generator som en Yubikey, istället för att använda SMS med ditt telefonnummer.

OTP-appar och fysiska nycklar är ännu säkrare än SMS i fall där du personligen är riktad, eftersom så kallade “SIM-swapping” – attacker inte är möjliga. Om dessa alternativ inte är tillgängliga, vänligen aktivera fortfarande SMS-baserad MFA på dina konton.

alla MFA är bättre än ingen MFA!

den sista försvarslinjen är du

naturligtvis kan alla dessa skydd fortfarande kringgås om du ger ditt lösenord och token till angriparen, antingen av misstag eller för att du tvingas.

misstag händer, särskilt när vi är upptagna, trötta och stressade. Fortfarande finns det aldrig en bra anledning att ge någon din MFA – token-försök att komma ihåg det här, och om du i ett ögonblick av svaghet känner att du börjar gå med på att göra det, förhoppningsvis kommer du att sakta ner och stoppa dig själv.

om du befinner dig i en situation där du tvingas ge tillgång till dina konton och information finns hjälp tillgänglig. Exempel är Operation Safe Escape och Le Refuge. Om detta gäller dig, var försiktig, där det är möjligt och säkert för dig, att bara få tillgång till dessa resurser ibland, platser och på enheter som inte är kända för din missbrukare, till exempel på ett offentligt bibliotek.

om du blir utpressad eller trakasserad med stulen icke-samtyckande information kan organisationer som Cyber Civil Rights Initiative och specialiserade advokatbyråer för offerrättigheter som ca Goldberg kanske hjälpa dig att ta tillbaka kontrollen.

om du är en aktivist eller journalist och du tror att du kan bli riktad av statligt sponsrade infostealers, kan organisationer som Citizen Lab kunna hjälpa eller peka dig mot lokala betrodda experter.

Leave a Reply