Siber suç, sahtekarlık yönetimi ve siber suç
Infostealer kötü amaçlı yazılım günlüklerinde bulunan ‘Pwned’ bayrak e -postaları elde ettiği e -postalar
Mathew J. Schwartz (Euroinfosec) •
26 Şubat 2025
Bu tür bir kötü amaçlı yazılımdan hırsızlık kapsamı daha korkunç bir şekilde belirgin hale geldiğinden, çoğunlukla infostenerlerin salgını kamuoyu bilincine girmeye başlıyor.
Ayrıca bakınız: Ondemand | Kuzey Kore’nin Gizli It Ordusu ve Nasıl Savaşır
Ücretsiz ihlal bildirim hizmeti, “Alien Txtbase” adlı abonelik tabanlı bir telgraf kanalı tarafından sağlanan 23 milyar sıralı stealer kütüğünden oluşan 1.5 terabayt veri eklendi. Günlükler 284 milyon benzersiz e -posta adresinin yanı sıra ilişkili şifrelerin yanı sıra bu kimlik bilgilerine girildiği web siteleri içeriyordu.
Infostealers, sistemleri enfekte eder ve bulabilecekleri her kimlik bilgilerini kaydeder. Popüler teklifler Redline, Raccoon, Lumma, Metastealer ve Stealc’dir. Operatörler genellikle bunları abonelik temelinde sağlar, kullanıcılar operatöre ilk çalınan verilerde – özellikle de kripto cüzdanlarıyla ilgili herhangi bir şey olan her şeyi kabul edebilecek hizmet şartlarını kabul ederler (bkz: bkz: Çalınan AI ve savunma kimlik bilgilerine bağlı infosterers).
Stealers mümkün olduğunca çok hassas bilgiler alır, “günlük” olarak toparlar ve otomatik telgraf botları, siber suç pazarları ve özel topluluklar aracılığıyla satarlar, çoğu zaman “günlükler bulutu” veya “logs bulutu” olarak bilinir. Alien TxtBase, tüm verilerine ayda 100 $ veya “ömür boyu” bir üyelik için 1.000 $ abonelikler sundu (bkz: bkz: Info-Dayanan Kötü Yazılım, ‘Günlük Bulutu’ tekliflerini doldurur).
“İndirdiğiniz oyun hilesini biliyor musunuz? Yoksa korsan yazılım ürünü için bu çatlak mı? Yoksa meslektaşınızın videosu çılgınca gelen bir şey yapıyor, ancak sadece emin olmak için gösteren yürütülebilir programı indirip çalıştıracağınızı düşündünüz mü? Bu, Makinenizde kötü amaçlı yazılımlarla sonuçlanmanın sadece birkaç farklı yolu, daha sonra ne yaptığınızı izliyor ve günlüğe kaydediyor. “
Günlük dosyaları genellikle kişisel ve kurumsal e -posta adresleri ve şifreler, çerezler ve hatta çok faktörlü kimlik doğrulama oturumu jetonları gibi çalınan web tarayıcısı verilerini, kredi ve banka kartı detayları ve kripto para birimi cüzdan erişim kimlik bilgileri içerir.
Infostealers tarafından çalınan kimlik bilgilerini izleyen veri ihlallerine maruz kalan büyük kuruluşlar arasında Airbus, Change Healthcare, Livenation’ın Ticketmaster, Schneider Electric ve Telecom Devleri AT & T, Orange ve Telefonica, Tehdit İstihbarat Şirketi Hudson Rock’ta kurucu ve CTO’larda. . Bu kuruluşların bazıları ayrıca fidye yazılımı enfeksiyonları ve veri hırsızlığı ile karşı karşıya kaldı.
Infostealers büyük miktarlarda kimlik bilgileri toplayabilir. Siber güvenlik firması Dynarisk’teki tehdit istihbarat başkanı Milivoj Rajić, bu glut ile başa çıkmak için birçok siber suçlu kullanıcı adlarını ve şifreleri hızla almak için ayrıştırıcılar yarattı.
Fidye yazılımı grubu Black Basta’nın sızdırılmış iç iletişiminin bu taktiği gösterdiğini söyledi. Paylaşılan bir e -tablo kullanarak grup, Infostealer günlüklerinde bulunan e -postaları olan kuruluşları tanımladı, hangi erişim bilgilerinin çalıştığını test etti, kuruluşun yıllık gelirini kontrol etti ve ağlarının MFA tarafından korunması. Bu bilgileri kullanmak, fidye yazılımı grubunun hedeflemesine öncelik vermesine yardımcı oldu (bkz:: Siyah Basta sızıntıları hedefleme, planlama, yükseltmeyi ortaya çıkarır).
Infostealers tarafından ne kadar veri toplandığının bir başka önlemi: Alien TxtBase kayıtları, PWNED şifreler tarafından ihlal edildiği gibi kaydedilmemiş 244 milyon şifre içerir. Hunt, ABD Ulusal Standartlar ve Teknoloji Enstitüsü’nün bu uygulamayı önermeye başladıktan kısa bir süre sonra, kullanıcıların bilinen bir veri ihlalinde görünen bir şifre seçmesine yardımcı olmak için 2017’de bu ücretsiz hizmeti başlattı.
Suçlular tarafından satılan stealer günlüklerinde yer alan tüm bilgiler mutlaka yasal değildir. Bazıları önceki sızıntılardan veya veri dökümlerinden geri dönüştürülebilir. Buna rağmen Hunt, uzaylı txtbase corpus’un rastgele bir örneğini yaklaştığı HIBP kullanıcılarının “avuç” kullanıcılarıyla doğrulayabildiğini söyledi.
Bireyler için ücretsiz, HIBP basit bir öncül altında çalışır: Herkes kendi e -posta adreslerini veya telefon numaralarını kaydedebilir ve HIBP, kamuya açık bir sızıntı, veri ihlali veya kolluk kuvvetleri tarafından keşfedilen veri kümeleri de dahil olmak üzere diğer bilgi kütlesinde göründüğünde onları uyarır. soruşturmaları sırasında ve hizmetle paylaşıldı.
Infostealers’ın yükselişi ve poz verdikleri tehdit göz önüne alındığında Hunt, HIBP’nin kullanıcılara e -posta adreslerinin bir stealer günlüğünde görünüp görünmediğini görme olanağı verdiğini söyledi.
Domain sahipleri ayrıca Stealer günlüklerinde hizmetlerindeki tüm isabetleri arayabilir. Örneğin, Netflix, listelenen tüm e -posta adreslerinin tüm örneklerini bulabilir. Netflix.com Mevcut Stealer günlüklerinde. HIBP parola paylaşmıyor – Hunt, poz verecek risk nedeniyle onları asla tutmadığını söyledi – ancak yeni bulunan bir veri dökümünde bir e -posta adresinin varlığı, bir kullanıcının şifresini süresi doldurmak ve bir sıfırlamayı zorlamak için yeterli bir neden olabilir.
“Aldığım yaklaşım, şifreleri PWNED şifrelerine yüklemektir, böylece parolayı her zaman tek başına kontrol edebilirsiniz, ancak kimse bu şifrelerin kime ait olduğu noktalarına katılamaz.” Dedi.
HIBP’ye yüklenen stealer günlük verilerine dayanarak Hunt, en çok görülen alanların “PayPal.com, Netflix.com, Amazon.com ve Facebook.com’u içerdiğini söyledi.
Kurumsal düzeyde, HIBP, bir e -posta alanının kontrolünü doğrulayan kuruluşlar için, o alan adı için tüm e -posta listeleri için Infostealer günlüklerini aramak için ücretli bir hizmet sunar.
Bir HIBP kurumsal kullanıcısı proje yönetimi yazılımı satıcısı Basecamp’tır. Basecamp’tan Sosyal Platform X’e yapılan bir gönderide David Heinemeier Hansson, “Basecamp için bir eşleşme ile herhangi bir hesap kimlik bilgilerini koruyarak baseCamp için önleyici güvenlik önlemlerini hızlandırdık.” Dedi. . “Stealer günlüklerindeki kötü artış göz önüne alındığında bu gerçekten standart bir uygulama olmalı.”