Το τοπίο της ψηφιακής απειλής έχει φτάσει σε ένα σημείο όπου μια και μόνο απρόσεκτη λήψη από έναν υπάλληλο μπορεί να δώσει σε ομάδες εγκληματιών άμεση πρόσβαση σε ένα ολόκληρο εταιρικό δίκτυο σε λιγότερο από δύο ημέρες.
Νέα έρευνα που δημοσιεύθηκε από το Τμήμα Πληροφοριών του Whiteintel στις 24 Μαρτίου 2026, χαρτογραφεί τον πλήρη κύκλο ζωής του κακόβουλου λογισμικού πληροφορικής κλοπής, εντοπίζοντας τη διαδρομή από τη μόλυνση έως την εμφάνιση κλεμμένων διαπιστευτηρίων σε υπόγειες αγορές σκοτεινού Ιστού.
Τα ευρήματα δείχνουν ότι τα κλεμμένα εταιρικά διαπιστευτήρια μπορούν να καταχωρηθούν προς πώληση εντός 48 ωρών από την αρχική μόλυνση, πολύ πριν οι περισσότερες ομάδες ασφαλείας έχουν ιδέα ότι κάτι πήγε στραβά.
Η έρευνα αποκαλύπτει ένα σοβαρό τυφλό σημείο που αναπτύσσεται αθόρυβα μέσα στα πλαίσια ασφαλείας των επιχειρήσεων.
Η συμβατική ανίχνευση παραβίασης βασίζεται σε εισβολές σε επίπεδο δικτύου, υπογραφές κακόβουλου λογισμικού και ειδοποιήσεις τελικού σημείου, αλλά οι infostealers λειτουργούν εντελώς εκτός αυτών των οπτικών γραμμών.
Μολύνουν προσωπικούς φορητούς υπολογιστές και μη διαχειριζόμενες συσκευές εργολάβων πέρα από την εταιρική ορατότητα. Μέχρι τη στιγμή που ένα κέντρο επιχειρήσεων ασφαλείας λάβει οποιαδήποτε ειδοποίηση, τα κλεμμένα δεδομένα είναι ήδη συσκευασμένα, τιμολογημένα και τοποθετημένα σε dark web market που περιμένει έναν αγοραστή.
Οι αναλυτές της Whiteintel εντόπισαν αυτό το κενό ως ένας από τους βασικούς λόγους για τους οποίους οι επιθέσεις που βασίζονται σε διαπιστευτήρια έχουν γίνει πρόσφατα το προτιμώμενο σημείο εισόδου για τους χειριστές ransomware.
Το τοπίο απειλών που περιβάλλει τους κλέφτες πληροφοριών έχει γίνει πιο οργανωμένο και εμπορικά προσανατολισμένο από ποτέ.
Πολλές ενεργές οικογένειες οδηγούν αυτήν τη στιγμή τον κύριο όγκο των παγκόσμιων μολύνσεων, με Το Lumma Stealer κατέλαβε την πρώτη θέση το 2024 ως το πιο ευρέως διαδεδομένο στέλεχος, ξεπερνώντας το RedLine Stealer.
Οι μολύνσεις StealC αυξήθηκαν κατά 376% μεταξύ του 1ου και του τρίτου τριμήνου του 2024, με πάνω από 80.000 κλεμμένα κούτσουρα να εμφανίστηκαν στη ρωσική αγορά κατά τη διάρκεια αυτής της περιόδου. Το RedLine Stealer, παρά το γεγονός ότι στοχοποιήθηκε από τις αρχές επιβολής του νόμου μέσω της Operation Magnus τον Οκτώβριο του 2024, συνέχισε να λειτουργεί ως μια προσφορά Malware-as-a-Service με τιμή μεταξύ 100 και 200 $ το μήνα.
Αυτές οι οικογένειες πληροφοριοκλοπών διανέμονται μέσω μιας σειράς φορέων μόλυνσης που έχουν σχεδιαστεί για να εκμεταλλεύονται τη συνήθη συμπεριφορά των χρηστών.
Το σπασμένο λογισμικό παραμένει το πιο κοινό σημείο εισόδου, με εργαλεία που χρησιμοποιούνται ευρέως όπως το Adobe Creative Suite και το Microsoft Office να επανασυσκευάζονται και να ομαδοποιούνται με κρυφά ωφέλιμα φορτία.
Οι συμβιβασμοί της αλυσίδας εφοδιασμού χρησιμοποιούνται επίσης για την απόκρυψη του κώδικα πληροφορικής κλοπής μέσα σε ενημερώσεις λογισμικού και βιβλιοθήκες τρίτων που συνήθως οι χρήστες θα εμπιστεύονται χωρίς αμφιβολία.
Αυτό που κάνει αυτή την απειλή τόσο επιζήμια είναι το πόσο γρήγορα κινείται κάθε φάση και πόσο λίγο χρόνο έχουν οι αμυντικοί να απαντήσουν.
Η έρευνα καταγράφει τον κύκλο ζωής σε πέντε ξεκάθαρα στάδια: μόλυνση κατά τις ώρες 0 έως 2, συλλογή δεδομένων από τις ώρες 2 έως 12, συσκευασία κορμού κατά τις ώρες 12 έως 24, καταχώρηση στην αγορά μεταξύ 24 και 48 ωρών και ενεργή εκμετάλλευση μετά.
Κάθε φάση είναι σύντομη και έχει σχεδιαστεί για να παραμένει κρυφή, δίνοντας στις ομάδες ασφαλείας σχεδόν κανένα παράθυρο για να επέμβουν πριν προκληθεί σοβαρή βλάβη.
The Credential Harvest: Inside the Data Theft Window
Μόλις εκτελεστεί ένας infostealer σε μια συσκευή, στοχεύει αμέσως βάσεις δεδομένων διαπιστευτηρίων του προγράμματος περιήγησης που είναι αποθηκευμένες σε αρχεία SQLite, ενεργά cookie περιόδου λειτουργίας, διαμορφώσεις VPN, κλειδιά SSH, διακριτικά υπηρεσιών cloud και δεδομένα πορτοφολιού κρυπτονομισμάτων.
Η συγκομιδή διαρκεί μόνο λεπτά, και Τα σύγχρονα infostealers έχουν κατασκευαστεί για να διαγράφονται αυτόματα μετά την ολοκλήρωση της εργασίας, ώστε να αποφευχθεί η ενεργοποίηση εργαλείων εντοπισμού ιών ή τελικών σημείων.
Τα κλεμμένα δεδομένα συμπιέζονται στη συνέχεια σε αυτό που η underground βιομηχανία αποκαλεί αρχείο καταγραφής – ένα δομημένο πακέτο διαπιστευτηρίων, διακριτικών περιόδων σύνδεσης και μεταδεδομένων συστήματος – πριν μεταφορτωθούν σε αγορές σκοτεινού ιστού όπως το Russian Market και το 2easy, το οποίο είχε εκατομμύρια ενεργά αρχεία καταγραφής από τις αρχές του 2024.
Συνιστάται στις ομάδες ασφαλείας να εφαρμόζουν συνεχή παρακολούθηση διαπιστευτηρίων σκοτεινού ιστού για την ανίχνευση της έκθεσης προτού οι επιτιθέμενοι μπορούν να ενεργήσουν εναντίον της.
Οι οργανισμοί θα πρέπει να επιβάλλουν την άμεση ακύρωση της περιόδου σύνδεσης και την υποχρεωτική εναλλαγή διαπιστευτηρίων τη στιγμή που εντοπίζεται οποιοσδήποτε συμβιβασμός.
Ο περιορισμός της πρόσβασης από μη διαχειριζόμενες προσωπικές συσκευές και η ανάπτυξη κλειδιών ελέγχου ταυτότητας που συνδέονται με το υλικό αντί των MFA που βασίζονται σε λογισμικό μπορεί να μειώσει σημαντικά τον κίνδυνο κλεμμένων διαπιστευτηρίων που χρησιμοποιούνται για την παραβίαση της εταιρικής υποδομής.
