Команда NordStellar и NordVPN сообщили о серьезной киберугрозе: злоумышленники крадут файлы cookie из браузеров рядовых пользователей с помощью вредоносного ПО и распространяют их в даркнете. На данный момент исследователи обнаружили в продаже на теневых веб-рынках 93,7 млрд куки-файлов.
Согласно отчету, злоумышленники используют эти файлы для обхода систем авторизации в различных системах, выдачи себя за других пользователей и даже для доступа к конфиденциальным бизнес-данным.
Инфостилеры — основной инструмент кражи куков
Почти все куки-файлы были украдены с помощью инфостилеров и других видов вредоносных программ. Например, ПО, которое позволяет мошенникам проверять в браузере наличие учетных данных, сохраненных паролей и сессионных файлов.
Как правило, такие вредоносные программы попадают на устройства пользователей через фишинговые атаки и взломанное ПО. К примеру, RedLine Stealer — самый плодовитый инфостилер, с помощью которого мошенники смогли украсть 42 млрд куков (активными из которых являлись всего 6,2%). А с помощью Vidar — 10,5 млрд файлов (7,2% активных).
Еще один — CryptBot, который шифрует файлы на компьютере жертвы или в сети и требует выкуп за их расшифровку. Он смог собрать для его владельцев меньше всего куки-файлов — 1,4 млрд, однако активных файлов, используемых пользователями, там более 83%.
Куки — один из самых популярных товаров в даркнете. Настоящая золотая жила для мошенников. Они позволяют злоумышленникам обходить авторизацию в чужих аккаунтах и проходить двухфакторную аутентификацию, получая мгновенный доступ к учетным записям пользователей: от почтовых сервисов и облачных хранилищ до онлайн-банкинга и рабочих инструментов.
Какие данные попали в пул из 93,7 млрд куки-файлов:
- 15,6 млрд файлов принадлежат активным пользователям. Это означает, что их можно использовать для перехвата живых сеансов.
- На 90,25% файлы состоят из идентификационных данных (ID) — 18 млрд, сессии (session) — 1,2 млрд (6,23%), данные аутентификации (auth) — почти 273 млн (1,37%) и логины (login) — 61,2 млн (0,31%).
- Многие cookie-файлы также содержат личную информацию, такую как имена, адреса электронной почты, дни рождения, пол и даже физическое местоположение — данные, которые могут способствовать фишингу и краже персональных данных.
Файлы продавались как на форумах даркнета, так и в каналах Telegram. Нередко мошенники выставляли их в течение нескольких минут после заполучения. Примерная стоимость 150-250 долларов — в зависимости от вредоноса.
Самые лакомые куки — на крупных платформах
Злоумышленники атакуют не только малоизвестные веб-сайты. Одними из наиболее атакуемых платформ были:
- Сервисы Google (Gmail, Google Диск, YouTube): более 4,5 млрд куков
- Аккаунты Microsoft: более 1 млрд
- Другие популярные платформы, среди которых Facebook*, TikTok и маркетплейсы.
Поскольку многие пользователи используют учетные записи Google или Microsoft для многофакторной аутентификации и единого входа (SSO), перехват сеанса может предоставить доступ к широкому спектру связанных служб.
*Принадлежит компании Meta, которая признана экстремистской организацией и запрещена на территории РФ
Мировое влияние: наиболее атакуемые страны и устройства
Исследование показало, что cookie-файлы были с украдены у пользователей из 253 стран, причем наиболее пострадавшими регионами были:
- Бразилия, Индия, Индонезия и США
- В Европе: Испания — 1,75 млрд куков, а Великобритания показала наибольший слив активных файлов — 8,3%.
Большинство украденных cookie-файлов были получены с устройств на ОС Windows, хотя 13,2 млрд были получены с неизвестных платформ или с платформ, отличных от Windows.
Если куки-файлы попадают в руки злоумышленников, это позволяет им выполнять следующие вредоносные действия:
- взламывать учетные записи, не запуская 2FA,
- выдавать себя за владельцев e-mail, аккаунтов в соцсетях и коммерческих сайтов,
- запускать фишинговые атаки с использованием собранных персональных данных,
- получать доступ к конфиденциальным корпоративным данным через скомпрометированный SSO-вход,
- перемещаться по корпоративным сетям с помощью сторонних программ-вымогателей,
- использовать учетные данные с повышенными правами доступа.
Чтобы мошенники не смогли получить доступ к этим данным, важно соблюдать цифровую гигиену в сети.
Эксперты по кибербезопасности дают следующие советы, которые помогут снизить риск кражи куки-файлов:
- Не принимайте в обязательном порядке все разрешения на доступ к вашим куки-файлам на сайтах. Откажитесь от ненужных cookie.
- Регулярно удаляйте файлы cookie, особенно после использования общедоступных устройств.
- Избегайте использования общедоступного Wi-Fi.
- Используйте антивирусы на всех устройствах и не загружайте ПО из неизвестных источников.
Ранее в нашем блоге мы писали о том, как мошенники подменяют файлы cookie в мошенничестве с рекламой. Также в апреле этого года исследователь обнаружил 35 опасных расширений в Chrome с 4+ млн установок, которые получали доступ к трафику, cookie, вкладкам.
Подписывайтесь на наш ТГ-канал: рассказываем о реальных кейсах, тактиках и технологиях мошенников, факты о кликфроде и не только. Без спама и с пятничными мемами.
