Infostealery – złośliwe programy, które kradną hasła i sesje

Czym są infostealery i dlaczego są groźniejsze niż ransomware?

Infostealery (ang. information stealers) to kategoria złośliwego oprogramowania zaprojektowanego wyłącznie w jednym celu: jak najszybciej i jak najciszej zebrać dane uwierzytelniające z zainfekowanego komputera. W odróżnieniu od ransomware, który natychmiast ujawnia swoją obecność przez szyfrowanie plików i wyświetlenie żądania okupu, infostealer działa w tle – często przez wiele godzin lub nawet dni, zanim ofiara w ogóle coś zauważy.

W 2025 roku analitycy zagrożeń odnotowali prawdziwą eksplozję infekcji infostealerami na całym świecie. Skradzione dane trafiają na podziemne rynki cyberprzestępców w formie tak zwanych logów – spakowanych paczek zawierających wszystkie wykradzione informacje z jednej zainfekowanej maszyny. Każdy log sprzedawany jest za kilka do kilkudziesięciu dolarów, a kupujący otrzymuje gotowy zestaw haseł, ciasteczek sesji i aktywnych tokenów.

Co czyni infostealery szczególnie niebezpiecznymi dla firm? Po pierwsze, są błyskawiczne – typowy infostealer zbiera dane w ciągu zaledwie kilku sekund od uruchomienia. Po drugie, są dyskretne – większość z nich nie pozostawia śladów widocznych dla przeciętnego użytkownika. Po trzecie, i co najważniejsze: kradną nie tylko hasła, ale również aktywne tokeny sesji, co umożliwia przejęcie kont firmowych bez znajomości hasła i z całkowitym pominięciem wieloskładnikowego uwierzytelniania (MFA).

Jak infostealery trafiają na firmowe komputery?

Cyberprzestępcy dysponują wieloma wektorami dystrybucji infostealerów. Znajomość ich pozwala lepiej przygotować firmę na zagrożenie i skuteczniej szkolić pracowników w rozpoznawaniu ryzyka.

• Phishing e-mailowy – zainfekowane załączniki (dokumenty PDF, archiwa ZIP, pliki z makrami) lub linki prowadzące do złośliwych stron, z których pobierany jest infostealer
• Fałszywe oprogramowanie – pirackie wersje płatnych programów, fałszywe generatory kluczy i tak zwane cracki pobierane z nieoficjalnych stron
• Malvertising – złośliwe reklamy w wyszukiwarkach podszywające się pod oficjalne strony pobierania popularnych programów: Notepad++, 7-Zip, VLC, AnyDesk, PuTTY
• Fałszywe aktualizacje – wyskakujące okienka na zainfekowanych stronach WWW sugerujące konieczność pilnej aktualizacji przeglądarki lub innego oprogramowania
• Złośliwe paczki w repozytoriach – zainfekowane pakiety npm, PyPI lub NuGet, szczególnie niebezpieczne w firmach zatrudniających programistów
• Kampanie w mediach społecznościowych – filmy na YouTube z instrukcjami instalacji pozornie darmowego oprogramowania; linki w opisie prowadzą bezpośrednio do infostealera

Niepokojącym trendem roku 2025 i 2026 jest rosnąca jakość kampanii malvertisingowych. Fałszywe strony pobierania oprogramowania są dziś niemal identyczne z oryginałami i trudne do odróżnienia nawet dla doświadczonego pracownika działu IT.

Co dokładnie kradną infostealery?

Nowoczesny infostealer w ciągu kilkunastu sekund zbiera bardzo szeroki zakres danych z zainfekowanego komputera. Oto, co trafia w ręce atakujących.

Dane uwierzytelniające:

• Hasła zapisane w przeglądarkach Chrome, Firefox, Edge i Opera – do stron WWW, aplikacji webowych i paneli administracyjnych
• Dane logowania do klientów poczty e-mail, programów FTP i połączeń VPN
• Klucze SSH, certyfikaty cyfrowe oraz tokeny API zapisane na dysku

Tokeny sesji i pliki cookie:

• Aktywne sesje do Microsoft 365, Google Workspace, Salesforce, GitHub, AWS i innych platform chmurowych
• Pliki cookie przeglądarki pozwalające natychmiast przejąć zalogowaną sesję bez konieczności podawania hasła ani kodu MFA

Dane finansowe i kryptowalutowe:

• Dane kart płatniczych zapisane automatycznie w przeglądarkach
• Portfele kryptowalut – frazy seed i klucze prywatne

Pliki i informacje o systemie:

• Dokumenty z pulpitu i folderu Dokumenty, automatyczne zrzuty ekranu
• Dane o systemie operacyjnym, zainstalowanym oprogramowaniu i zewnętrznym adresie IP urządzenia

Dlaczego kradzież tokenów sesji omija MFA?

To najważniejszy aspekt, który wyróżnia infostealery spośród starszych rodzajów złośliwego oprogramowania. Wiele firm wdrożyło uwierzytelnianie wieloskładnikowe (MFA) jako podstawowe zabezpieczenie kont – i słusznie. Jednak MFA chroni przede wszystkim przed scenariuszem, w którym atakujący zna hasło, ale nie posiada dostępu do drugiego składnika uwierzytelnienia.

Gdy infostealer wykradnie aktywny token sesji z przeglądarki ofiary, atakujący może wstrzyknąć ten token do swojej przeglądarki i natychmiast uzyskać pełny dostęp do zalogowanego konta – bez podawania hasła i bez żadnego kodu MFA. System rozpoznaje autoryzowaną, aktywną sesję i nie wymaga ponownego uwierzytelnienia. Technika ta nosi nazwy Pass-the-Cookie lub Session Hijacking.

Stała ona za kilkoma głośnymi incydentami bezpieczeństwa. W 2022 roku napastnicy przejęli wewnętrzne systemy Ubera właśnie przez kradzież tokenu sesji pracownika. W 2023 roku analogiczna metoda posłużyła do włamania do systemów firmy Okta – dostawcy rozwiązań tożsamości dla tysięcy organizacji na całym świecie.

Wniosek dla firm jest jednoznaczny: samo wdrożenie MFA nie chroni, jeśli komputery pracowników nie są objęte skuteczną ochroną punktów końcowych. MFA i EDR to dwie warstwy bezpieczeństwa, które muszą działać razem – żadna z nich nie zastąpi drugiej.

Jak chronić firmę MŚP przed infostealerami?

Skuteczna ochrona przed infostealerami wymaga podejścia wielowarstwowego – łączącego odpowiednie narzędzia techniczne z edukacją pracowników i rozsądnymi procedurami wewnętrznymi.

Środki techniczne:

• EDR zamiast samego antywirusa – tradycyjne programy antywirusowe oparte na sygnaturach coraz częściej nie wykrywają nowoczesnych infostealerów; rozwiązania klasy EDR (Endpoint Detection and Response) analizują zachowanie procesów i skuteczniej neutralizują zagrożenia
• Conditional Access z wymogiem zgodności urządzenia – skonfiguruj polityki Microsoft Entra tak, by dostęp do firmowych zasobów mógł uzyskać wyłącznie komputer spełniający wymagania bezpieczeństwa: aktualny system, aktywny EDR, włączone szyfrowanie dysku
• Firmowy menadżer haseł – zabroń pracownikom zapisywania haseł w przeglądarkach i wdróż dedykowane narzędzie do zarządzania hasłami; hasła przechowywane w przeglądarce to pierwszy cel każdego infostealera
• Filtrowanie DNS – automatycznie blokuj dostęp do domen znanych z dystrybucji złośliwego oprogramowania i phishingu
• Regularne aktualizacje – utrzymuj system operacyjny, przeglądarki i pozostałe oprogramowanie zawsze w najnowszych wersjach, ponieważ luki w oprogramowaniu ułatwiają instalację infostealerów

Środki organizacyjne:

• Szkolenia pracowników w zakresie ryzyka instalowania oprogramowania spoza autoryzowanych źródeł i rozpoznawania fałszywych stron pobierania
• Firmowa polityka pobierania oprogramowania – wyłącznie z oficjalnych stron producenta lub zarządzanego repozytorium wewnętrznego
• Zasada najmniejszych uprawnień – pracownicy nie powinni w codziennej pracy korzystać z uprawnień lokalnego administratora

Reagowanie na incydent:

• W przypadku podejrzenia infekcji: natychmiast zmień wszystkie hasła i unieważnij aktywne sesje – w Microsoft 365 użyj opcji Wyloguj ze wszystkich sesji dostępnej w ustawieniach konta
• Rozważ usługę monitoringu dark web, która automatycznie alarmuje o wykryciu firmowych danych w bazach skradzionych logów – daje to szansę na reakcję zanim atakujący zdąży wykorzystać zdobyte dane