Malware může používat různé metody k získávání dat, z nichž nejčastější jsou:

• zachytávání prohlížečů (a někdy i jiných aplikací) a krádež přihlašovacích údajů, které uživatel někam vepíše
• používání webových injekčních skriptů, které přidávají další pole do webových formulářů a odesílají z nich informace přímo na útočníkův server
• zachycování formulářů (nalézání specifických otevřených oken a krádež jejich obsahu)
• klávesnicové špehování
• krádež hesel uložených v systémech a souborech cookies

Moderní malware, který sbírá informace, je obvykle součástí botnetů. Někdy je cíl útoku a související události konfigurován vzdáleně pomocí příkazu odeslaného ze serveru pro řízení a kontrolu (C&C).

Podle nové zprávy od kybernetických výzkumníků Flare, kteří analyzovali přibližně 20 milionů záznamů generovaných malwarem, prodávaných na dark webu a v hackerských kanálech Telegramu, bylo nalezeno více než 370 000 záznamů, které nabízejí přístup k Salesforce, Hubspot, Quickbooks, AWS, DocuSign a dalším - těm hlavním firemním aplikacím používaným některými z největších korporací na světě. Tyto aplikace mají ve svých zařízeních cca stovky tisíc uživatelů.

A uživatelé AWS byli největšími oběťmi, s téměř 200 000 přihlašovacími údaji do konzole AWS prodanými na dark webu. Existuje asi 65 000 prodaných přihlašovacích údajů do DocuSign, CRM systémů a do Salesforce. Výzkumníci také našli více než 200 000 uniklých záznamů s přihlašovacími údaji do OpenAI, což naznačuje, že tyto mohou nejčastěji unikat proprietárním informacím, interním obchodním strategiím nebo zdrojovému kódu.

Přibližně tři čtvrtiny těchto záznamů (74 %) byly zveřejněny na kanálech Telegramu, zbývajících 25 % bylo prodáno na ruských dark web trzích.

„Záznamy obsahující firemní přístup byly nadreprezentované na ruském trhu a VIP kanálech Telegramu, což naznačuje, že metody, které útočníci používají k zisku záznamů, mohou náhodně nebo úmyslně cílit více na firmy,“ popisuje zpráva Flare. „Navíc veřejné kanály Telegramu mohou úmyslně zveřejňovat záznamy s nižší hodnotou, ukládající záznamy s vysokou hodnotou pro placené zákazníky.“

Zdroj: Shutterstock

Existuje jen málo věcí, které jsou v kybernetickém světě tak cenné, jako jsou přihlašovací údaje k firemním aplikacím používaným velkými korporacemi. Tyto přihlašovací údaje jsou extrémně vysoce vzácné, protože umožňují přístup k citlivým firemním datům, včetně informací o zaměstnancích, zákaznících, obchodních tajemstvích, budoucích plánech a dalších. To zase umožňuje útočníkům nasadit malware nebo ransomware, exfiltrovat data nebo provádět kybernetickou špionáž.

Data, která tímto způsobem získají, mohou být později prodána na černém trhu za významné zisky, nebo mohou být využita k vymáhání výkupného.

„Na základě důkazů z dark web fóra Exploit in hodnotíme jako vysoce pravděpodobné, že počáteční přístupoví makléři používají záznamy malwarem jako hlavní zdroj k získání počátečního opěrného bodu do firemních prostředí, které mohou být poté draženy na špičkových dark web fórech,“ řekl Eric Clay, výzkumný pracovník Flare.