Infostealers — malware kradnący loginy i sesje

Czym jest infostealer?

Infostealer to rodzaj malware zaprojektowany do cichej kradzieży danych logowania, ciasteczek sesji, portfeli kryptowalut i innych poufnych informacji z zainfekowanego urządzenia. W przeciwieństwie do ransomware, ofiara zwykle nie wie, że została zaatakowana — malware eksfiltruje dane w tle i często sam się usuwa.

Infostealery są dziś najszybciej rosnącym segmentem cyberprzestępczości. W pierwszej połowie 2025 roku przestępcy wykradli 1,8 mld credentiali (wzrost o 800% wobec poprzedniego półrocza) z 5,8 mln zainfekowanych urządzeń (Flashpoint). W całym 2025 — 3,3 mld credentiali.

To tłumaczy, dlaczego 22% wszystkich naruszeń bezpieczeństwa w 2025 zaczęło się od skradzionych loginów — to #1 wektor ataku według Verizon DBIR 2025.

Top 5 rodzin infostealerów w 2026

Maj 2025: Microsoft + FBI + Europol unieszkodliwili Lumma Stealer — przejęli 2 300 domen, namierzyli ~10 mln infekcji globalnie. Lumma odbudował się w tygodniach, ale stracił dominację.

ClickFix — wektor #1 w 2026

ClickFix to socjotechnika odpowiadająca za 47% intruzji obserwowanych przez Microsoft (wzrost +517% w H1 2025). Schemat:

1. Użytkownik trafia na stronę z fałszywą CAPTCHA / "Cloudflare verification" / "Twoja przeglądarka wymaga aktualizacji"
2. Strona instruuje: "Naciśnij Win+R, wklej tekst, wciśnij Enter"
3. Wklejony tekst to komenda PowerShell która pobiera i uruchamia infostealer
4. Malware działa minutę, eksfiltruje wszystkie dane i kasuje się

To najgenialniejszy element ClickFix: użytkownik sam uruchamia malware z swojego konta — żaden EDR nie widzi pobrania pliku, żadna brama emailowa nie blokuje załącznika.

Inne wektory: cracki pirackiego oprogramowania (szczególnie AMOS na macOS), malvertising w Google Ads, fałszywe update'y przeglądarki, SEO poisoning, komentarze YouTube z linkami do "free tools", repozytoria GitHub z złośliwymi zależnościami.

Co kradnie infostealer?

Pełny log z jednego urządzenia zawiera typowo:

• Hasła zapisane w przeglądarce (Chrome, Edge, Firefox, Brave)
• Ciasteczka sesji — krytyczne: ESTSAUTH/ESTSAUTHPERSISTENT (Microsoft 365 / Entra ID), Google Workspace, Slack, GitHub, banki
• Portfele kryptowalut — MetaMask, Phantom, Coinbase, Binance, Ronin (Acreed ma moduł clipper do podmiany adresów)
• Tokeny komunikatorów — Discord, Telegram, Steam
• Konfiguracje VPN — OpenVPN, WireGuard
• Klucze SSH/FTP, pliki vault menedżerów haseł
• Autouzupełnianie — karty kredytowe, adresy, dane osobowe
• Outlook .ost/.pst, historia przeglądarki, screenshot ekranu

Pełen log sprzedawany jest na Russian Market za $10 średnio, premium logi z aktywnymi sesjami M365 osiągają do $500. Subskrypcja Lumma MaaS startuje od $250/miesiąc (premium $20k).

MFA bypass przez kradzież sesji

Najgroźniejsza ewolucja 2025-2026: infostealery priorytetowo kradną ciasteczka sesji, nie hasła. Dlaczego?

Po udanym logowaniu z MFA serwer wystawia ciasteczko sesji (ESTSAUTH dla M365, SID dla Google) ważne 24h-90 dni. To ciasteczko zastępuje ponowne uwierzytelnianie. Jeśli atakujący wstrzyknie skradzione ciasteczko do swojej przeglądarki, jest zalogowany bez monitu o hasło ani kod MFA.

Techniki: pass-the-cookie, Cookie-Bite (Varonis, kwiecień 2025), AiTM proxy phishing kits (EvilProxy, Tycoon 2FA, SessionShark).

Konsekwencja: 79% ataków initial-access w 2025 było malware-free — atakujący nie potrzebują wykorzystywać żadnej luki, wystarczy zalogować się skradzionymi ciasteczkami (CrowdStrike Global Threat Report 2025).

Polska — #2 cel w Europie

• Lipiec 2024: polscy użytkownicy zajęli #2 miejsce w Europie i #4 globalnie wśród celów Lumma Stealer (KELA)
• Luty 2025: wyciek >10 mln unikalnych polskich credentiali z logów infostealerów — w tym dane do ePUAP i Profil Zaufany
• CERT Polska 2025: obsłużył 260 783 incydenty (+152% r/r), oszustwa komputerowe (często oparte na skradzionych loginach) stanowiły 97% wszystkich incydentów
• ESET (lab Kraków) dostarczył telemetrię która umożliwiła operację Microsoft+FBI przeciw Lumma Stealer

Jak się chronić?

1. Klucze sprzętowe FIDO2 / passkeys — wiążą uwierzytelnienie z urządzeniem, ciasteczko z innego urządzenia jest bezużyteczne
2. Token binding + krótki czas życia sesji — Conditional Access w Entra ID wymusza re-auth co 4-8h zamiast standardowych 90 dni
3. Device compliance — logowanie tylko z urządzeń zarządzanych przez Intune/MDM
4. Zarządzane przeglądarki — Edge for Business z polityką blokowania zapisywania haseł, Chrome Enterprise Core
5. Menedżer haseł firmowy — zamiast wbudowanego w przeglądarkę (vault szyfrowany kluczem niezależnym od OS)
6. EDR z detekcją ClickFix — Defender for Endpoint blokuje uruchomienia PowerShell z Run dialog
7. Monitoring credentiali na underground — usługi typu Have I Been Pwned dla firm, SpyCloud, Flare
8. Świadomość ClickFix — szkolenie: "żadna prawdziwa strona nie poprosi cię o wklejanie komend do PowerShell"

Jak SecIQ pomaga?

• SecIQ SOC wykrywa anomalie logowania (geolokalizacja, IP, godzina) i sesje z nieznanych urządzeń w mniej niż 15 minut
• Microsoft Defender for Endpoint + Defender for Identity — detekcja ClickFix, podejrzanego PowerShell, wycieku credentiali
• Conditional Access wymuszający FIDO2 dla kont uprzywilejowanych i device compliance dla wszystkich
• Monitoring dark web — alerty gdy credentiale Twojej firmy pojawią się w logach infostealerów
• Reakcja na incydent — playbook unieważnienia wszystkich sesji, rotacji tokenów, audytu logowań

Skradzione credentiale Twojej firmy mogą już być w sprzedaży na Russian Market. Sprawdź to z nami.

Źródła

• Verizon DBIR 2025 — 22% naruszeń od skradzionych loginów
• Flashpoint Global Threat Intelligence Report 2026 — 3,3 mld credentiali w 2025
• Microsoft: Action against Lumma Stealer — takedown maj 2025
• Microsoft Security Blog: ClickFix analysis
• Mandiant: UNC5537 Snowflake breaches
• CERT Polska — Raport Roczny 2025
• IBM Cost of a Data Breach Report 2025
• Varonis: Cookie-Bite attack