Що таке інфостілери та чому вони небезпечніші за витоки даних

Що таке інфостілери та чому вони небезпечніші за витоки даних

У 2024 році інфостілери непомітно заразили понад 23 мільйони пристроїв по всьому світу та викрали 2,1 мільярда облікових даних. На відміну від витоків даних, які потрапляють у заголовки новин, інфостілери діють у тіні — збираючи все від збережених паролів до банківських реквізитів менш ніж за 60 секунд. І ось ключовий момент: зміна пароля після атаки інфостілера практично нічого не дає для вашого захисту.

У цій статті ми пояснимо, що таке інфостілери, чим вони відрізняються від традиційних витоків даних, які сімейства шкідливого ПЗ домінують у ландшафті загроз, та що ви реально можете зробити для захисту.

Що таке інфостілер?

Інфостілер (information stealer, крадій інформації) — це категорія шкідливого програмного забезпечення, спеціально створеного для вилучення конфіденційних даних із зараженого пристрою та передачі їх на сервер, контрольований зловмисником. На відміну від програм-вимагачів (ransomware), які заявляють про свою присутність зашифрованими файлами та вимогами викупу, інфостілери побудовані так, щоб бути невидимими. Вся операція — від зараження до ексфільтрації даних — зазвичай завершується менш ніж за 60 секунд.

Після запуску інфостілер систематично збирає:

• Збережені паролі з усіх встановлених браузерів (Chrome, Firefox, Edge, Opera)
• Сесійні cookie та токени — що дозволяє зловмисникам перехоплювати активні сесії без необхідності знати пароль
• Дані автозаповнення — імена, адреси, номери телефонів
• Номери кредитних карток, збережені в платіжних менеджерах браузера
• Файли криптовалютних гаманців (Exodus, MetaMask, Phantom, Atomic)
• Токени двофакторної автентифікації та дані додатків-автентифікаторів
• Облікові дані VPN та FTP
• Файли з робочого столу, скріншоти та вміст буфера обміну

Сучасні браузери шифрують збережені облікові дані, але ключі шифрування доступні будь-якому процесу, який працює з привілеями користувача. Інфостілер просто розшифровує базу даних облікових записів, пакує дані в так званий "лог" і вивантажує його — все це до того, як жертва взагалі зрозуміє, що щось сталося.

Велика четвірка: домінуючі сімейства інфостілерів

RedLine Stealer

Вперше виявлений у березні 2020 року, RedLine став найпоширенішим інфостілером в історії. За даними дослідження Kaspersky, RedLine відповідав за 51% усіх заражень інфостілерами між 2020 і 2023 роками. Звіт Flashpoint за 2025 рік зафіксував, що RedLine заразив 9,9 мільйонів хостів лише за 2024 рік — 43% усіх спостережених заражень інфостілерами того року. У жовтні 2024 року операція Magnus — спільна акція поліції Нідерландів, ФБР та партнерських агентств — порушила інфраструктуру RedLine, проте кодова база шкідливого ПЗ продовжує циркулювати серед кіберзлочинців.

Lumma Stealer (LummaC2)

Lumma стрімко зріс з менш ніж 1% частки ринку у 2023 році до 31% у 2024 році, ставши найпоширенішим інфостілером. ESET зафіксував зростання виявлень Lumma на 369% між першою та другою половиною 2024 року. До четвертого кварталу 2024 року Lumma становив майже 92% попереджень про викрадені облікові дані на Russian Market — найбільшому маркетплейсі дарквебу для торгівлі краденими обліковими даними. У травні 2025 року підрозділ цифрових злочинів Microsoft очолив глобальну операцію з нейтралізації, вилучивши близько 2300 шкідливих доменів у координації з Європолом та ФБР. Ліквідація була частково ефективною — нова інфраструктура управління з'явилася протягом кількох тижнів.

Raccoon Stealer

Raccoon є постійною присутністю в екосистемі інфостілерів, з операторами, які здійснили понад 50 мільйонів компрометацій. Він націлений на надзвичайно широкий спектр даних: облікові дані, cookie, кредитні картки, криптовалютні гаманці, а також дані з менеджерів паролів (Bitwarden, 1Password), поштових клієнтів та месенджерів, включаючи Telegram, Signal і Discord. Незважаючи на арешт та засудження ключового оператора у 2022-2024 роках, партнерська модель Raccoon підтримує його функціонування. Звіт KELA за 2025 рік визначає Raccoon2 як один із трьох провідних інфостілерів, який разом із Lumma та RedLine відповідальний за 85% усіх заражень.

Vidar Stealer

Vidar був другим за поширеністю інфостілером у другій половині 2024 року, присутнім у 17% усіх випадків та відповідальним за крадіжку понад 65 мільйонів паролів. Його відмінна риса — здатність до самознищення: після збору даних він видаляє себе з системи, суттєво зменшуючи шанси на криміналістичне виявлення. У жовтні 2025 року вийшов Vidar 2.0 — повністю переписаний на C з покращеною скритністю, ефективністю та розширеними можливостями збору даних.

Як поширюються інфостілери

Інфостілери потрапляють до жертв через три основні вектори:

1. Фішинг та соціальна інженерія

Цілеспрямовані електронні листи зі шкідливими вкладеннями, замаскованими під рахунки-фактури, повідомлення про доставку або пропозиції роботи. У 2024-2025 роках з'явився особливо ефективний варіант: атаки ClickFix з підробленими сторінками CAPTCHA, які обманом змушують користувачів виконувати шкідливі команди, думаючи, що вони проходять перевірку "я не робот".

2. Піратське програмне забезпечення та зламані ігри

Торренти, варез-сайти та підроблені "кряки" є одними з найпоширеніших векторів зараження. Іронія очевидна: користувачі, які завантажують піратське ПЗ для економії грошей, часто втрачають значно більше, коли їхні банківські облікові дані, криптовалютні гаманці та корпоративний VPN-доступ викрадаються та продаються.

3. Шкідлива реклама (malvertising) та SEO-маніпуляції

Зловмисники купують рекламні місця на легітимних платформах (включно з Google Ads), щоб перенаправляти користувачів на підроблені сторінки завантаження ПЗ. SEO-маніпуляції (poisoning) виводять шкідливі сайти на верхні позиції пошукової видачі за популярними запитами програмного забезпечення. Користувачі, які шукають такі інструменти як OBS Studio, Slack або Zoom, можуть натиснути на просувані результати, які доставлять інфостілер замість легітимного ПЗ.

Від зараження до продажу в дарквебі: 48-годинний конвеєр

Дослідження, опубліковане у 2026 році підрозділом розвідки Whiteintel, зафіксувало точний таймлайн від зараження до продажу на маркетплейсі:

1. Хвилина 0-1: Шкідливе ПЗ запускається, збирає всі дані браузерів, cookie, файли, криптовалютні гаманці та системну інформацію
2. Хвилина 1-5: Дані пакуються в "лог" та завантажуються на командний сервер зловмисника
3. Години 1-24: Логи сортуються, категоризуються та оцінюються за вартістю (корпоративні облікові дані, банківський доступ та криптовалютні гаманці коштують дорожче)
4. Години 24-48: Логи виставляються на продаж на маркетплейсах дарквебу, таких як Russian Market, наступники Genesis Market та канали в Telegram
5. Години 48+: Покупці використовують облікові дані для захоплення акаунтів, проникнення в корпоративні мережі або розгортання програм-вимагачів

Масштаби вражають. Звіт Constella про витоки ідентичностей за 2026 рік обробив 51,7 мільйонів пакетів облікових даних лише за 2025 рік — зростання на 72% порівняно з минулим роком. Окремі логи продаються за $2-10, тоді як логи з корпоративними VPN або хмарними обліковими даними можуть коштувати сотні доларів.

Витік даних vs. інфостілер: чому різниця має значення

Чому зміна пароля не допоможе

Після традиційного витоку даних стандартна порада проста: зміни пароль для постраждалого сервісу. Це працює, тому що витік зазвичай розкриває хешований пароль для однієї платформи.

Інфостілери повністю руйнують цю модель. Ось чому:

• Усі паролі скомпрометовані одночасно. Інфостілер не забирає один пароль — він забирає всі облікові дані, збережені у вашому браузері. Зміна одного пароля при збереженні 200 інших незмінними майже нічого не дає.
• Сесійні токени обходять паролі повністю. Вкрадені cookie та сесійні токени дозволяють зловмисникам отримувати доступ до ваших акаунтів без введення пароля. Навіть із новим паролем, дійсний сесійний токен надає повний доступ до закінчення його терміну.
• Шкідливе ПЗ може залишатися активним. Якщо інфостілер або його завантажувач все ще присутній на пристрої, будь-які нові паролі, які ви вводите, будуть перехоплені негайно. Ви подаєте свіжі облікові дані безпосередньо зловмиснику.
• Дані автозаповнення неможливо "змінити". Ваше ім'я, адреса, номер телефону та реквізити кредитних карток, збережені в автозаповненні браузера, тепер назавжди у розпорядженні зловмисника.

Правильна реакція на зараження інфостілером вимагає принципово іншого підходу: повне сканування пристрою та можлива переінсталяція системи, інвалідація всіх активних сесій на кожному сервісі, ротація кожного облікового запису та перевірка всіх фінансових рахунків на несанкціоновану активність.

Цифри говорять самі за себе

• 3,9 мільярда облікових даних викрадено інфостілерами з 4,3 мільйонів пристроїв у 2024 році (Kaspersky)
• 2,1 мільярда облікових даних зібрано інфостілерами, що становить 75% усіх вкрадених облікових даних у 2024 році (Flashpoint)
• Зростання на 115% заражень інфостілерами з 2023 по 2024 рік
• Стрибок на 369% виявлень Lumma Stealer у другій половині 2024 року порівняно з першою (ESET)
• Зростання на 670% логів інфостілерів на Russian Market між 2021-2023 роками
• 54% жертв ransomware мали доменні облікові дані в логах інфостілерів до атаки (Verizon DBIR)
• 24% усіх кіберінцидентів у 2024 році були пов'язані з інфостілерами (Huntress)
• $200/місяць — середня вартість підписки на інфостілер, що робить його доступним практично для будь-якого зловмисника

Що потрібно зробити прямо зараз

Інфостілери — це не теоретична загроза, а найбільший драйвер крадіжки облікових даних у 2025 році. Модель Malware-as-a-Service означає, що будь-який початківець-кіберзлочинець може розгорнути складний інфостілер за ціну підписки на стрімінговий сервіс.

Практичні кроки для вашого захисту:

1. Припиніть зберігати паролі в браузері. Використовуйте окремий менеджер паролів, який зберігає облікові дані в зашифрованому сховищі, відокремленому від браузера.
2. Увімкніть апаратну двофакторну автентифікацію (ключі безпеки FIDO2/WebAuthn) скрізь, де це можливо. Програмна 2FA може бути перехоплена інфостілерами; апаратні ключі — ні.
3. Ніколи не завантажуйте піратське ПЗ. Зламане програмне забезпечення — найпоширеніший механізм доставки інфостілерів для звичайних користувачів.
4. Перевіряйте джерела завантаження. Завжди переходьте безпосередньо на офіційний сайт програмного забезпечення, яке хочете встановити. Не довіряйте просуваним результатам пошуку чи рекламі.
5. Моніторте компрометацію. Регулярно перевіряйте, чи не з'явилися ваші облікові дані або дані пристрою в базах логів інфостілерів.

Перевірте чи ваш пристрій заражений — безкоштовно

Скористайтеся нашим інструментом перевірки витоків, щоб дізнатися, чи були ваші облікові дані знайдені в логах інфостілерів або витоках даних. Раннє виявлення — це різниця між незначною незручністю та катастрофічною компрометацією вашого цифрового життя.