Jeremiah Fowler, badacz cyberbezpieczeństwa, w maju 2025 roku natknął się na otwartą bazę danych o rozmiarze 47 GB, zawierającą dane logowania do najpopularniejszych serwisów internetowych. Wykryte informacje obejmowały nazwy użytkowników, hasła oraz adresy URL stron logowania do platform takich jak Google, Microsoft, Apple, Facebook, Instagram, Snapchat czy Roblox. Co gorsza, w bazie znalazły się również dane dostępowe do kont bankowych, systemów medycznych i portalów rządowych z 29 krajów.
Baza danych bez żadnej ochrony
Najbardziej szokującym aspektem odkrycia była całkowita bezbronność bazy danych. Informacje przechowywane były w formie niezaszyfrowanego pliku tekstowego, dostępnego dla każdego bez konieczności podania hasła czy przejścia jakiejkolwiek autoryzacji. Po zgłoszeniu przez Fowlera dostawca hostingu szybko zablokował dostęp do pliku, jednak niewiadomo, jak długo dane były publicznie dostępne i czy ktoś jeszcze mógł je pobrać.
Fowler skontaktował się z kilkoma osobami, których dane znajdowały się w bazie, potwierdzając autentyczność przecieków. Analiza wskazuje, że informacje zostały zebrane za pomocą infostealer malware – specjalistycznego oprogramowania zaprojektowanego do kradzieży wrażliwych danych z zainfekowanych urządzeń.
Infostealer – nowa plaga 2025 roku
Infostealer to rodzaj złośliwego oprogramowania, które dyskretnie kopiuje dane przechowywane na komputerze lub wpisywane przez użytkownika, a następnie przesyła je do cyberprzestępców. Ten typ malware celuje głównie w hasła zapisane w przeglądarce, pliki cookie, dane kart kredytowych, informacje o portfelach kryptowalut oraz dane z aplikacji dwuskładnikowego uwierzytelniania.
Statystyki są alarmujące:
- Według IBM X-Force Threat Intelligence Index 2025 kradzież danych uwierzytelniających występuje w 29% wszystkich incydentów cyberbezpieczeństwa.
- Check Point Security odnotował 58% wzrost ataków infostealer w 2024 roku.
- Firma KELA ustaliła, że w 2024 roku skradziono 330 milionów danych logowania z 4,3 miliona zainfekowanych urządzeń.
- Raport SpyCloud pokazuje, że użycie infostealer malware potroiło się w 2023 roku.
Jak działają infostealery w praktyce
Infostealer malware rozprzestrzenia się przez różne wektory ataku:
Fałszywe rozszerzenia i aplikacje – oprogramowanie, które pozornie działa zgodnie z opisem, ale w tle kradnie dane użytkownika.
Podszywanie się pod oficjalne oprogramowanie – cyberprzestępcy tworzą fałszywe strony pobierania popularnych programów.
Pirackie oprogramowanie – cracki i keygeny często zawierają ukryte infostealer malware.
Ataki SEO poisoning – przestępcy manipulują wynikami wyszukiwania, aby ich złośliwe strony pojawiały się na pierwszych pozycjach.
W kwietniu 2025 roku najaktywniejszymi rodzajami infostealer były LummaC2, Vidar i StealC. LummaC2 zyskał szczególną popularność dzięki zaawansowanym technikom omijania wykrywania i wykorzystywaniu Telegram oraz Steam jako relay C2 (command and control).
Dwa główne zagrożenia dla użytkowników
1. Łatwość zarażenia urządzeń
W przeciwieństwie do ransomware, które głośno sygnalizuje swoją obecność, infostealer działa dyskretnie. Użytkownicy często nie zdają sobie sprawy z zakażenia przez tygodnie lub miesiące. Malware może dostać się na urządzenie przez:
- Pobieranie aplikacji z nieoficjalnych źródeł.
- Klikanie podejrzanych linków w wynikach wyszukiwania.
- Instalowanie pirackich wersji oprogramowania.
- Otwieranie złośliwych załączników w e-mailach.
2. Długotrwała podatność na ataki
Nawet po usunięciu malware z urządzenia skradzione dane nadal krążą w sieci. Cyberprzestępcy mogą wykorzystać je do:
- Przejęcia kont przez credential stuffing (próby logowania skradzionymi danymi na innych serwisach).
- Kradzieży tożsamości.
- Ataków phishingowych wymierzonych w konkretne osoby.
- Sprzedaży danych na dark webie.
Szczególnie niebezpieczne są przypadki kradzieży plików cookie uwierzytelniających. Nawet jeśli użytkownik ma włączone dwuskładnikowe uwierzytelnianie, skradziony cookie może pozwolić atakującemu na ominięcie tej ochrony.
Jak się chronić przed infostealer malware
Profilaktyka na poziomie urządzenia
Uważne pobieranie oprogramowania – korzystaj tylko ze sprawdzonych źródeł i oficjalnych stron producentów. W przypadku darmowych alternatyw wybieraj rozwiązania open-source sprawdzone przez ekspertów.
Weryfikacja adresów URL – przed kliknięciem sprawdź, czy adres strony jest autentyczny i czy nie zawiera podejrzanych znaków.
Regularne skanowanie antywirusowe – upewnij się, że oprogramowanie antywirusowe automatycznie pobiera aktualizacje i regularnie skanuje system.
Ostrożność z rozszerzeniami przeglądarki – instaluj tylko niezbędne rozszerzenia z oficjalnych sklepów.
Wzmocnienie bezpieczeństwa kont
Dwuskładnikowe uwierzytelnianie (2FA) – włącz na wszystkich ważnych kontach, szczególnie e-mail i usługi finansowe.
Passkeys zamiast haseł – nowa technologia logowania, której nie można ukraść w tradycyjny sposób.
Unikalne hasła dla każdego serwisu – używaj menedżera haseł do generowania i przechowywania silnych, unikalnych haseł.
Regularna zmiana haseł – szczególnie dla najważniejszych kont, takich jak e-mail czy bankowość.
Lista kontrolna po potencjalnym zarażeniu
- Przeskanuj urządzenie antywirusem i usuń podejrzane aplikacje.
- Sprawdź zainstalowane rozszerzenia przeglądarki i usuń nieznane.
- Włącz 2FA na wszystkich kontach z hasłami.
- Zmień hasła do najważniejszych serwisów.
- Utwórz passkeys jako podstawową metodę logowania.
- Monitoruj aktywność kont – sprawdzaj nieautoryzowane logowania.
Nowe zagrożenie roku 2025
Wyciek 184 milionów danych logowania to tylko wierzchołek góry lodowej. Eksperci przewidują, że infostealery będą nadal dominować w krajobrazie cyberzagrożeń 2025 roku. W marcu wykryto nowy szczep o nazwie FleshStealer, który potrafi omijać większość systemów bezpieczeństwa i resetować pliki cookie Google, umożliwiając dalszą eksploatację.
Firmie Check Point udało się w październiku 2024 roku udokumentować kampanię wykorzystującą fałszywe strony CAPTCHA do dystrybucji LummaC2 Stealer, co pokazuje rosnące wyrafinowanie metod ataku.
Przemysł cyberprzestępczy na sterydach
Rozwój modelu “malware as a service” (MaaS) sprawił, że dostęp do infostealer malware stał się łatwiejszy niż kiedykolwiek. LummaC2 oferuje plany cenowe od 250 do 1000 dolarów, a deweloperzy zapewniają całodobowe wsparcie techniczne dla swoich “klientów”.
Według firmy KELA tylko trzy najpopularniejsze szczepy infostealer (Lumma, StealC i RedLine) odpowiadają za ponad 75% wszystkich infekcji. Skradzione dane są następnie sprzedawane na forach dark webu, gdzie pojedynczy zestaw danych logowania może kosztować od kilku centów do kilku dolarów.
Czytaj też: Z wisiorka na szyję po robota — Jony Ive i OpenAI zrewolucjonizują interakcję z AI
Wyciek 184 milionów haseł to ostrzeżenie przed rosnącym zagrożeniem infostealer malware. W świecie, w którym cyberprzestępcy skupiają się na dyskretnej kradzieży danych zamiast spektakularnych ataków ransomware, użytkownicy muszą być bardziej świadomi zagrożeń. Kluczem do ochrony jest połączenie ostrożności przy pobieraniu oprogramowania z proaktywnymi środkami bezpieczeństwa, takimi jak regularne zmiany haseł, używanie menedżerów haseł i włączanie dwuskładnikowego uwierzytelniania. Pamiętaj: w dobie infostealer malware żadne hasło nie jest bezpieczne na tyle długo, aby można było je traktować jako wieczne zabezpieczenie.