Świat malware jest niezwykle różnorodny, a jedną z najbardziej podstępnych i rozpowszechnionych kategorii są infostealery – cisi złodzieje danych. Te wyspecjalizowane programy infekują komputery, aby kraść loginy, hasła, dane kart płatniczych, portfele kryptowalut i wiele innych cennych informacji. Chociaż cel jest podobny, różne rodziny infostealerów różnią się metodami działania, zaawansowaniem technicznym i sposobami dystrybucji. W tym artykule przyjrzymy się bliżej czterem graczom, którzy zdominowali krajobraz zagrożeń w ostatnich latach: RedLine Stealer, Raccoon Stealer, Vidar Stealer oraz LummaC2 Stealer. Zrozumienie ich specyfiki to klucz do skuteczniejszej obrony.
RedLine Stealer: Popularny Gracz MaaS
RedLine pojawił się w 2020 roku i szybko zdobył popularność, działając w modelu Malware-as-a-Service (MaaS). Oferowany na rosyjskojęzycznych forach, pozwalał cyberprzestępcom na łatwe generowanie i zarządzanie kampaniami. Napisany w C#/.NET, RedLine Stealer słynie z szerokiego zakresu kradzionych danych: dane uwierzytelniające z przeglądarek, informacje systemowe, portfele kryptowalut, dane z klientów FTP i VPN, komunikatorów (Discord, Telegram) oraz platformy Steam. Potrafi również robić zrzuty ekranu i kraść konkretne pliki. Co istotne, zazwyczaj nie wymaga dodatkowych bibliotek DLL do działania. Rozprzestrzenia się głównie przez phishing, złośliwe reklamy i pirackie oprogramowanie.
Raccoon Stealer: Odporny i Powszechny
Raccoon Stealer (znany też jako Mohazo czy RecordBreaker) działał od 2019 roku, również w modelu MaaS. Mimo że jego infrastruktura została częściowo zlikwidowana przez FBI w 2022 roku, szybko powrócił w nowej wersji (v2), napisanej w C++. Raccoon Stealer celuje w dane z około 60 różnych przeglądarek, portfele kryptowalut, dane klientów poczty (Outlook, Thunderbird), informacje systemowe i zrzuty ekranu. Wersja 2 wprowadziła możliwość kradzieży danych z Telegrama i działanie bez zapisywania plików na dysku. Do działania często wymaga pobrania legalnych bibliotek DLL (np. sqlite3.dll). Dystrybuowany jest przez exploit kity, phishing, pirackie oprogramowanie i techniki SEO poisoning (promowanie fałszywych stron w wynikach wyszukiwania).
Vidar Stealer: Ewolucja i Sprytne Uniki
Vidar Stealer, zaobserwowany pod koniec 2018 roku, uważany jest za pochodną popularnego trojana Arkei. Również działa jako MaaS. Kradnie bardzo szeroki zakres danych, podobny do RedLine i Raccoona, w tym dane uwierzytelniające, finansowe, portfele krypto, historię wiadomości Telegrama i zrzuty ekranu. Podobnie jak Raccoon v2, Vidar pobiera legalne biblioteki DLL do ekstrakcji danych. Cechą charakterystyczną Vidar Stealer jest wykorzystywanie profili w mediach społecznościowych (Mastodon, Telegram, Steam) jako „skrytek” do przechowywania adresów serwerów C2. Stosuje też zaawansowane techniki unikania detekcji, np. sztuczne powiększanie rozmiaru pliku, używanie wygasłych certyfikatów czy samousunięcie po kradzieży danych. Często pełni rolę loadera dla ransomware.
LummaC2 Stealer: Rosnąca Gwiazda Podziemia
LummaC2 (lub Lumma Stealer) to stosunkowo nowy, ale bardzo szybko zyskujący popularność infostealer (od końca 2022 roku), dostępny jako MaaS. Napisany w C, skupia się głównie na portfelach kryptowalut i rozszerzeniach przeglądarek (w tym tych do 2FA). Jego siłą jest dynamiczna konfiguracja pozwalająca operatorowi decydować, co kraść. LummaC2 Stealer stosuje zaawansowane techniki unikania detekcji, takie jak haszowanie wywołań API, zaciemnianie ciągów znaków i techniki antysandboxowe. Rozpowszechniany jest wieloma kanałami: phishing, fałszywe strony CAPTCHA, pirackie oprogramowanie, wiadomości na Discordzie. Obserwowano kampanie dystrybuujące go razem z Banshee Stealer (dla macOS).
Kluczowe Różnice i Podobieństwa
Chociaż wszystkie cztery omówione infostealery mają ten sam cel – kradzież danych – różnią się detalami technicznymi i strategiami:
- Język programowania: RedLine (C#/.NET), Raccoon (C++), Vidar (C++), LummaC2 (C).
- Zależność od DLL: Raccoon i Vidar często potrzebują zewnętrznych bibliotek DLL do parsowania danych, podczas gdy RedLine i LummaC2 są bardziej samodzielne.
- Komunikacja C2: Różne metody, od standardowych HTTP POST/GET (Raccoon, LummaC2) po wykorzystanie protokołów SOAP/NetTCP (RedLine) czy mediów społecznościowych jako pośredników (Vidar).
- Techniki unikania: Każdy ma swoje sztuczki – Vidar powiększa pliki, Lumma haszuje API, RedLine fałszuje timestampy.
- Model MaaS: Wszystkie cztery działają w tym modelu, co świadczy o jego dominacji w cyberprzestępczym świecie i ułatwia dostęp do tych narzędzi szerokiemu gronu atakujących.
Te różnice są istotne dla zespołów bezpieczeństwa tworzących mechanizmy detekcji, ale dla przeciętnego użytkownika ważniejsze jest zrozumienie, że zagrożenie ze strony infostealerów jest realne i pochodzi z wielu źródeł (więcej o różnych typach zagrożeń można przeczytać w raportach ENISA).
Jak Chronić Się Przed Infostealerami?
Niezależnie od nazwy (czy to RedLine, Raccoon, Vidar, LummaC2 czy inny), mechanizmy obronne pozostają podobne:
- Uważaj na źródła oprogramowania: Pobieraj aplikacje tylko z oficjalnych, zaufanych źródeł. Unikaj pirackich wersji, „cracków” i aktywatorów.
- Bądź sceptyczny wobec wiadomości: Nie klikaj podejrzanych linków ani załączników w e-mailach i wiadomościach. Uważaj na phishing.
- Używaj silnych, unikalnych haseł i MFA: To znacznie utrudnia wykorzystanie skradzionych danych logowania.
- Aktualizuj wszystko: System operacyjny, przeglądarka i inne aplikacje muszą być regularnie aktualizowane.
- Stosuj renomowane oprogramowanie antywirusowe/Internet Security: Upewnij się, że jest aktywne i regularnie aktualizowane.
- Regularnie twórz kopie zapasowe: Choć infostealery głównie kradną, często są pierwszym etapem ataku ransomware.
Więcej informacji o różnych typach zagrożeń i sposobach reagowania można znaleźć na stronie CERT Polska.
Podsumowanie
RedLine, Raccoon, Vidar i LummaC2 to tylko kilku przedstawicieli groźnej rodziny infostealerów. Ich porównanie pokazuje, jak różnorodne i adaptacyjne potrafią być te narzędzia. Model MaaS sprawia, że są one powszechnie dostępne, a ich głównym celem są nasze najcenniejsze dane. Świadomość tego zagrożenia i stosowanie solidnych praktyk cyberhigieny to najlepsza tarcza ochronna.
Chcesz dogłębnie zrozumieć, jak działają współczesne zagrożenia typu infostealer i jak skutecznie chronić przed nimi swoją firmę? Analiza takich narzędzi to część mojej codziennej pracy. Podczas szkoleń (w tym z pokazami na żywo!) wyjaśniam mechanizmy ataków i uczę praktycznych metod obrony. Skontaktuj się ze mną i zadbaj o bezpieczeństwo swoich danych!