🕵️ Tips
Av · · 5 min lesing

Stealer-logger: angrepet du sannsynligvis ikke har hørt om

Hver dag selges tusenvis av «stealer-logger» på dark web. De inneholder alt hackere trenger for å ta over bedriftskontoer: passord, sesjons-cookies og kortdata fra infiserte PC-er. Her er hvordan det fungerer, og hva du kan gjøre.

Hva inneholder en typisk stealer-logg?

Nærbilde av mobilskjerm som viser sesjons-cookie-token i nettleserens utviklerverktøy

Når en ansatt infiseres med RedLine, Raccoon, Vidar eller en av de andre populære infostealer-variantene, kjører malwaren i bakgrunnen i noen sekunder. Den henter ut data fra nettleseren, ofte uten at brukeren merker noe. Så laster den opp en komprimert fil til en kommando-og-kontroll-server.

En slik logg kan inneholde:

  • Lagrede passord fra Chrome, Edge, Firefox og andre nettlesere
  • Sesjons-cookies som lar angriperen logge inn uten passord
  • Autofyll-data med navn, adresse og telefonnummer
  • Kortinformasjon lagret i nettleserens betalingsskjema
  • Cryptocurrency wallet-filer og private nøkler
  • Skjermbilder av åpne vinduer på infiseringstidspunktet

Alt dette pakkes inn i en ZIP-fil merket med offerets IP-adresse, land og antall unike domener funnet i nettleserhistorikken. Jo flere domener, desto høyere pris.

Hvorfor er sesjons-cookies farligere enn passord?

De fleste bedrifter har flertrinnspålogging (MFA) på viktige systemer. Men MFA beskytter kun mot stjålne passord. Sesjons-cookies er et annet lag.

Når du logger inn på Gmail, Microsoft 365 eller Slack, lagrer nettleseren en cookie som beviser at du allerede har autentisert deg. Cookien er gyldig i timer, noen ganger uker. Hvis en angriper stjeler den cookien og limer den inn i sin egen nettleser, slipper de inn uten å måtte skrive passord eller godkjenne MFA-varsler.

Dette kalles «session hijacking», og det er presies det stealer-logger muliggjør i stor skala.

Hvordan havner loggene på dark web?

Infostealere distribueres oftest gjennom:

  • Falske programvare-oppdateringer («Din Chrome må oppdateres nå!»)
  • Piratkopiert software med malware innebygd
  • Phishing-vedlegg som utgir seg for å være faktura eller CV
  • Kompromitterte annonser (malvertising) på ellers legitime nettsider

Når filen først er kjørt, tar det fem til ti sekunder før PC-en er tømt for data. Loggene lastes opp til Telegram-kanaler, Tor-baserte markedsplasser eller dedikerte logger-plattformer som Genesis Market og Russian Market. Der selges de til høystbydende, ofte i bunter på tusenvis.

Hva gjør kjøperne med loggene?

Kjøpere filtrerer loggene etter land, bransje og antall domener. En logg fra en norsk bedrift med tilgang til regnskapssystemer, e-post og SharePoint kan selges videre til ransomware-grupper som betaler godt for «initial access».

Andre bruker loggene til:

  • Konto-overtakelse for å sende phishing fra legitime e-postadresser
  • Bedrifts-e-postkompromittering (BEC) med faktura-svindel
  • Kredittkorttyveri og identitetsmisbruk
  • Tyveri av kryptovaluta fra wallet-filer

Det som startet som en enkel malware-infeksjon på én ansatts PC, kan eskalere til full tilgang til bedriftens systemer i løpet av timer.

Hvordan vet du om din bedrift er rammet?

De fleste bedrifter oppdager aldri at de har havnet i en stealer-logg før skaden har skjedd. Sesjons-cookies etterlater ingen varsler. Passord-gjenbruk gjør at én kompromittert PC kan gi tilgang til flere systemer.

Det finnes verktøy som kan søke gjennom kjente logger-markedsplasser etter bedriftens domene, e-postadresser eller IP-adresser. Sentinel PLUSS vil få kontinuerlig dark web-overvåkning som automatisk varsler hvis bedriftens data dukker opp. Per nå kan du kjøre en engangs-skann via SpiderFoot-integrasjonen i dashbordet.

Hva kan du gjøre nå?

Selv om stealer-logger er et sofistikert trussellandskap, finnes det konkrete tiltak:

  • Lær ansatte å aldri laste ned programvare fra usikre kilder
  • Bruk en passord-manager i stedet for nettleserens innebygde passord-lagring (passord-managere krypterer data bedre)
  • Aktiver MFA på alle bedriftskontoer, også de som ikke virker kritiske
  • Overvåk sesjons-varighet i admin-panelene (mange tjenester lar deg tvinge re-autentisering hver 24. time)
  • Kjør dark web-søk etter bedriftens domene og ansattes e-postadresser minst én gang i kvartalet

Stealer-logger er ikke et teoretisk problem. De selges akkurat nå, og sannsynligheten for at minst én ansatt i en bedrift på 50 personer har vært utsatt siste år er høy. Det eneste som skiller et varsel fra et datainnbrudd, er om du oppdager det i tide.

Relaterte artikler

📊
Analyse
Bare 8 % av ledere ser cyberangrep som en samfunnsrisiko
🎣
Phishing
Phishing omgår SMS-koden din: slik fungerer AiTM-angrep
🌐
Domene
Subdomain takeover: Angrepet som rammer nedlagte tjenester
Få varsler i innboksen

Vil du ha varsler om nye trusler?

Mustvedt Sentinel sender deg e-post hvis e-posten din dukker opp i en lekkasje, eller hvis domenet ditt er under angrep.

Start 7 dager gratis Logg inn