🕵️ Lekkasjer
Av · · 5 min lesing

Stealer-logger: Angrepet du sannsynligvis ikke har hørt om

Hver dag selges tusenvis av infiserte PC-er på dark web, fullpakket med passord, sesjons-cookies og kortdata. Stealer-logger er den raskest voksende typen digitalt ran. Her er hva som faktisk skjer når en ansatt klikker på feil lenke.

Hva er en stealer-logg?

En stealer-logg er en datafil som inneholder alt en malware-variant kalt «infostealer» klarte å samle inn fra en infisert datamaskin. Det kan være en ansatt som lastet ned en falsk faktura, en regnskapsfører som installerte et cracked regnskapsprogram, eller en IT-konsulent som besøkte et kompromittert nettsted.

Når infostealeren er på plass, ofte uten at brukeren merker noe, høster den data i løpet av sekunder eller minutter, sender alt til angriperen, og forsvinner. Offeret oppdager sjelden noe før det er for sent.

Hva inneholder loggen?

Innholdet varierer, men en typisk stealer-logg fra 2024 kan inneholde:

  • Lagrede passord fra alle nettlesere (Chrome, Edge, Firefox)
  • Sesjons-cookies som lar angriperen logge inn uten passord
  • Autofyll-data: navn, adresser, telefonnumre
  • Kortinformasjon lagret i nettleseren
  • Kryptolommebok-data (seed phrases, private nøkler)
  • FTP/SSH-credentials fra FileZilla, PuTTY og lignende
  • Skjermbilder av åpne vinduer på infeksjonstidspunktet
  • Systeminfo: IP-adresse, operativsystem, installert programvare

Alt dette pakkes i én ZIP-fil og selges videre, ofte innen timer.

Hvorfor stealer-logger er mer populære enn noensinne

For ti år siden var målet å stjele ett passord om gangen. I dag handler det om volum. En enkelt infostealerkampanje kan høste titusener av logger på én dag.

Årsakene er enkle:

1. Lave kostnader. En «lifetime license» for en stealer-malware som Redline, Vidar eller Raccoon koster 100, 200 dollar. Ingen månedsabonnement, ingen support, bare last ned og bruk.

2. Enkel distribusjon. Angripere bruker falske programvareoppdateringer, phishing-vedlegg, eller crackede spill og programmer. Offeret trenger ikke engang å kjøre en .exe-fil lenger, noen varianter sprer seg via JavaScript i nettleseren.

3. Umiddelbar verdi. Mens ransomware krever forhandling og risiko, kan en stealer-logg selges med én gang. Ingen konfrontasjon, ingen løsepenger, bare rask omsetning.

4. Gjenbruksverdien. En logg med admin-credentials til en bedrifts Microsoft 365-konto kan gi tilgang i måneder. Selv om passord endres, kan sesjons-cookies holde angriperen inne lenge nok til å gjøre alvorlig skade.

Markedsplassen

På dark web-fora som Russian Market, 2easy.shop og Genesis Market (stengt i 2023, men erstattet av andre) sorteres loggene etter land, bransje, og innhold. En søker kan finne alle logger fra norske bedrifter med banktilgang, eller alle logger som inneholder ordet «admin» i brukernavn.

Prisen avhenger av innholdet. En logg fra en husholdningsmaskin selges for 2, 5 dollar. En logg fra en bedrift med dokumentert banktilgang eller administrative rettigheter kan gå for 50 dollar eller mer.

Hva skjer etter at en logg er solgt?

Kjøperen bruker logger til ulike formål:

Kontoovertakelse. Med passord og sesjons-cookies logger angriperen inn på e-post, bank, eller skylagringstjenester. Hvis kontoen har flerfaktor-autentisering (MFA), kan en aktiv sesjons-cookie omgå det.

Ransomware-tilgang. Mange av de 100 nye ransomware-ofrene vi registrerte siste uke startet med kjøpte stealer-logger. Angriperen bruker VPN-credentials eller RDP-tilgang hentet fra loggen til å komme inn i nettverket, eskalerer rettigheter, og installerer ransomware.

Bedriftsidentitetstyveri. En logg fra en regnskapsfører kan inneholde tilgang til fakturasystemer. Angriperen sender falske fakturaer til kundene, endrer kontonumre, og tømmer kontoer før noen oppdager svindelen.

Videre salg. Noen kjøpere viderebringer logger til spesialiserte team. En logg med kryptolommebok-data går til én gruppe, en logg med banktilgang til en annen.

Hvordan beskytte deg

Stealer-logger trives i miljøer der brukere har mange lagrede passord og lite bevissthet rundt phishing. Her er fire grep som reduserer risikoen betydelig:

1. Ikke lagre passord i nettleseren. Bruk heller en dedikert passordbehandler med kryptering. Hvis maskinen infiseres, er ikke alle passord umiddelbart tilgjengelige.

2. Kontroller e-postadressene deres. Sjekk om ansattes e-postadresser er eksponert i kjente lekkasjer. Sentinel MAILSCAN gir deg oversikt over hvor mange steder en e-post er kompromittert, og hvilke passord som kan være i omløp.

3. Hardwarenøkler for kritiske kontoer. Sesjons-cookies kan omgå mange former for MFA, men ikke FIDO2-baserte hardwarenøkler. For administratorkontoer er dette den sikreste løsningen.

4. Overvåk dark web. Hvis en ansatts credentials dukker opp i en stealer-logg-database, vil det ta timer eller dager før misbruk skjer. Tidlig varsling gir tid til å endre passord og ugyldiggjøre sesjoner. Sentinel PLUSS får snart kontinuerlig dark web-overvåkning. Akkurat nå kan du kjøre et on-demand SpiderFoot-skann for å se om domenet ditt er nevnt i kjente databaser.

En stille trussel

Stealer-logger er ikke dramatiske. Det er ingen løsepengebrev, ingen pressemeldinger, ingen varsling fra politi. Bare en liten fil som skifter eier på et obskurt forum, og så begynner misbruket.

Men konsekvensene er reelle. Mange av årets største datainnbrudd startet ikke med et sofistikert nettverksangrep, men med én ansatt som lastet ned feil fil.

Det beste forsvaret er å vite hva som faktisk skjer når en PC infiseres, og handle før loggene dukker opp for salg.

Relaterte artikler

📂
Supply chain
GitHub bekrefter brudd: 3 800 interne repos lekket via ondsinnet VSCode-extension
📧
E-post
5 MX-feilkonfigurasjoner som eksponerer bedriftens e-post
🛡️
Lansering
Sårbarhetsrapport: profesjonell sikkerhetsanalyse for SMBer, levert på 3 dager
Få varsler i innboksen

Vil du ha varsler om nye trusler?

Mustvedt Sentinel sender deg e-post hvis e-posten din dukker opp i en lekkasje, eller hvis domenet ditt er under angrep.

Start 7 dager gratis Logg inn