X-VPN Отчет о безопасности: Анализ утечек учетных данных браузеров третьих сторон

Недавно, в ходе рутинного мониторинга безопасности, проведенного исследователями из нашего сообщества пользователей и встроенным Монитором Темной Сети X-VPN, мы выявили необычные совпадения, связанные с некоторыми учетными записями пользователей в внешних базах данных.

Чтобы обеспечить безопасность пользователей, наша команда безопасности немедленно начала расследование, и мы прозрачно делимся результатами нашего расследования и рекомендуемыми действиями со всеми пользователями.

Наши выводы

После перекрестной проверки через наши внутренние системы мониторинга и сотрудничества с членами белых шляп, мы подтвердили, что комбинации адресов электронной почты и паролей для в общей сложности 276 X-VPN аккаунтов появляются в этих сторонних наборах данных темной сети.

Здесь мы хотим подтвердить 2 ключевых факта для всех пользователей:

1. Утечки учетных данных возникают из-за вредоносного ПО, компрометирующего устройства пользователей

Все учетные данные, найденные в базах данных черного рынка, происходят от инфекций вредоносным ПО (также называемым Infostealer) на локальных устройствах пользователей, что позволяет злоумышленникам получать доступ к паролям учетных записей X-VPN, хранящимся в браузерах.

Любое из этих поведений может позволить Infostealers использовать уязвимости и извлекать сохраненные в браузере учетные данные без ведома пользователя.

2. Вредоносное ПО нацелено не только на браузеры

Важно подчеркнуть, что хотя украденные учетные данные были извлечены из хранилища паролей браузера, это не указывает на наличие уязвимости безопасности в Chrome, Edge или любом другом браузере. 

Advanced Infostealer сканирует и крадет локальные данные по всему зараженному устройству, при этом сохраненные в браузере учетные данные являются лишь одной из многих высокоценных целей. Кроме учетных данных для входа, некоторые злоумышленники могут напрямую получить доступ к локальным базам данных на устройствах пользователей, получая различные конфиденциальные данные, включая журналы чата, файлы и банковские реквизиты. 

Если вы пострадали: немедленные шаги, которые вы должны предпринять

Для 276 пользователей, чья информация появилась в утечке данных, мы уже проверили подлинность записей и выдали индивидуальные уведомления о безопасности через Live Chat.

Если вы получили уведомление от X-VPN или подозреваете, что ваша учетная запись могла быть скомпрометирована, немедленно выполните следующие шаги, чтобы минимизировать риск дальнейшего несанкционированного использования учетной записи или утечки конфиденциальной информации:

1.  Немедленно измените пароль вашей учетной записи X-VPN

Поскольку украденные пароли хранились в открытом виде в браузерах, крайне важно как можно скорее заменить их на новый, более надежный пароль.

• Мы рекомендуем использовать официальный бесплатный генератор паролей от X-VPN для создания надежного пароля, который будет длиннее, будет включать больше типов символов и будет полностью случайным и непредсказуемым.
• После изменения пароля X-VPN автоматически аннулирует все старые сессии. Не забудьте войти снова с вашим новым паролем на всех устройствах, которые использовали X-VPN, включая компьютеры, телефоны и планшеты, чтобы убедиться, что все устройства защищены новым паролем.

2. Выполните полное сканирование вашего устройства и удалите вредоносное ПО.

Поскольку украденные учетные данные в основном происходят от инфекций Infostealer, очистка вашего устройства является критически важным шагом для предотвращения дальнейших атак.

• Используйте профессиональное антивирусное программное обеспечение или инструменты против вредоносного ПО для проведения полного сканирования системы, сосредоточив внимание на обнаружении троянов, кейлоггеров, инъекционных скриптов и неизвестных фоновых процессов.
• Если вы установили взломанное программное обеспечение, пиратские приложения, читы для игр или непроверенные пакеты, просто удалите их как можно скорее.
• Очистите кэши браузера, куки, локальное хранилище и другие аномальные данные.
• Для устройств, проявляющих необычное поведение, такое как частые всплывающие объявления, аномальная задержка системы или программы, открывающиеся сами по себе, переустановка операционной системы часто является самым тщательным способом очистки.

3. Проверьте и обновите пароли для других важных аккаунтов

Если ваше устройство было заражено инфостилером, маловероятно, что учетная запись X-VPN является единственными скомпрометированными учетными данными. Учетные записи электронной почты, профили в социальных сетях, учетные записи онлайн-магазинов и платежные сервисы, доступ к которым осуществлялся с того же устройства, также могли быть скомпрометированы.

• Смените пароли для этих аккаунтов по одному, убедившись, что каждый пароль уникален и не похож на другие.
• Включите двухфакторную аутентификацию для повышения безопасности.

4. Удалите все сохраненные пароли браузера

Наконец, если вы привыкли использовать менеджер паролей в браузере, вам нужно:

• Вручную удалите все сохраненные пароли из Chrome, Edge, Firefox, Safari или других браузеров.
• Перестаньте использовать встроенный менеджер паролей браузера и отключите такие функции, как автоматическое сохранение паролей, автоматический вход в систему и автозаполнение форм.

Следуя этим шагам, вы значительно снизите риск злоупотребления учетными данными, компрометации аккаунтов или дальнейших нарушений конфиденциальности.

Если вы не пострадали: меры предосторожности, которые вы можете использовать

Даже если ваша учетная запись в настоящее время не указана в каких-либо известных наборах данных о нарушениях безопасности, мы настоятельно рекомендуем начать устанавливать более надежные привычки безопасности, чтобы снизить вероятность столкновения с подобными угрозами в будущем.

1. Рассмотрите возможность использования более безопасного менеджера паролей

Для управления паролями мы рекомендуем сначала удалить сохраненные в вашем браузере пароли для чувствительных сервисов, особенно те, которые связаны с VPN, электронными почтовыми аккаунтами, финансовыми услугами и социальными медиа платформами.

Если вам нужна помощь в запоминании сложных паролей, рассмотрите возможность использования профессионального менеджера паролей. В отличие от инструментов на основе браузера, они обычно используют архитектуру безопасности, сочетающую мастер-пароль с независимо полученными ключами. Даже если операционная система подвергнется частичному компромиссу, хранилище паролей останется защищенным независимым шифрованием, образуя вторую линию защиты.

2. Загружайте программное обеспечение только из надежных и официальных источников

Все загрузки и обновления программного обеспечения должны ограничиваться официальными каналами или доверенными платформами, когда это возможно. Избегайте использования пиратского программного обеспечения, взломанных инструментов или любых установочных пакетов из неизвестных источников. Многочисленные случаи инфекций Infostealer тесно связаны с такими неофициальными каналами.

3. Держите системы и приложения в актуальном состоянии

Поддержание своевременных обновлений для операционных систем, браузеров и программного обеспечения безопасности также имеет решающее значение. Устранение известных уязвимостей значительно снижает вероятность успешного использования вредоносным ПО слабостей в устаревших системах.

4. Улучшенная защита: Как X-VPN защищает вас?

Помимо стандартных мер безопасности, упомянутых выше, как пользователь X-VPN, вы также можете получить доступ к набору инструментов безопасности, которые обеспечивают более комплексную защиту от рисков, чем традиционные VPN.

X-VPN всегда стремился предоставлять надежное шифрование данных и маскировку IP-адресов. Однако мы понимаем, что шифрование VPN само по себе не может предотвратить вирусные вторжения, фишинговые атаки или вредоносные загрузки.

Таким образом, в начале 2025 года X-VPN официально запустил полную систему защиты безопасности, охватывающую “обнаружение проблем — блокировка угроз — предотвращение инфекций.” Это решение помогает пользователям снизить вероятность возникновения таких инцидентов безопасности в реальных сетевых средах.

Мониторинг Темной Сети

Мониторинг Темной Сети является ключевым компонентом, который позволил нам немедленно обнаружить утечки пользовательских данных во время этого инцидента. 

Эта функция непрерывно отслеживает базы данных утечек с темной сети, сопоставляя информацию об учетных записях с зарегистрированными адресами электронной почты пользователей. При обнаружении потенциально скомпрометированных данных система незамедлительно выдает уведомления о безопасности, призывая вас немедленно изменить пароли, проверить активность входа в затронутых службах и предпринять дополнительные меры для предотвращения дальнейшего раскрытия данных или финансовых потерь.

Текущая версия, доступная пользователям, поддерживает привязку до 5 адресов электронной почты. Это означает, что вы можете одновременно установить единое мониторинг рисков на темной стороне интернета для вашей учетной записи VPN, основного адреса электронной почты и других критически важных сервисов.

Защита браузера

Защита браузера — это комплексный пакет безопасности, предоставляемый X-VPN, который включает 4 основных инструмента, предназначенных для проактивного перехвата потенциальных рисков в повседневном безопасном просмотре, снижения векторов заражения вредоносным ПО и обеспечения улучшенной защиты конфиденциальности для вашего онлайн-опыта.

В этом пакете Защита загрузки особенно важна для инцидента, обсуждаемого в этом отчете. Наиболее распространенной точкой входа для Infostealer является маскировка под обычное программное обеспечение, взломанные инструменты или, казалось бы, безобидные файлы для загрузки. Защита загрузки автоматически вмешивается в момент, когда вы загружаете файл онлайн, выполняя сканирование в реальном времени для всех загрузок и сравнивая их характеристики с обширной базой данных вредоносного ПО.

При обнаружении подозрительных установочных пакетов или файлов, exhibiting trojan-like characteristics, он изолирует их до того, как они попадут на вашу систему, и немедленно выдает предупреждение о безопасности, чтобы предотвратить неосознанную установку программ, содержащих Infostealer или другие вредоносные скрипты. Блокируя опасные файлы на этапе загрузки, Защита загрузки значительно снижает вероятность кражи учетных данных на источнике.

Помимо фильтрации загрузок, другие функции защиты браузера X-VPN обеспечивают важные меры безопасности для вашего устройства и конфиденциальности:

• Блокировщик трекеров: Помогает защитить вас от различных трекеров, размещенных другими веб-сайтами, предотвращая анализ вашего онлайн-поведения третьими сторонами через куки, скрипты или параметры URL.
• Зловредный блокировщик: Проактивно блокирует доступ к сайтам, известным как вредоносные или высокорисковые, значительно уменьшая вашу подверженность загрузкам вирусов и фишинговым атакам.
• Защита поиска: Предварительно помечает статус безопасности результатов поисковых систем, предоставляя вам большую ясность перед тем, как нажать на ссылку.

Эти защитные механизмы не зависят от способности шифрования VPN, что означает, что они могут функционировать независимо, независимо от того, включено или выключено VPN-соединение. Мы настоятельно рекомендуем пользователям оставлять включенным пакет защиты браузера во время повседневного веб-серфинга. Это позволяет X-VPN постоянно защищать ваше устройство от попыток отслеживания, вредоносных сайтов и потенциальных инфекций вредоносным ПО.

Бесплатные пользователи, желающие получить доступ ко всему набору услуг, включая мониторинг темной сети, защиту браузера и другие инструменты, такие как блокировщик рекламы и очистка хранилища, могут перейти на платный план — начиная всего с $2.99/мес. Это позволяет вам наслаждаться быстрым и стабильным VPN-сервисом, получая более систематическую защиту безопасности.

Фон: Глобальный рост кражи учетных данных, вызванный вредоносным ПО

В последние годы категория вредоносных программ, специально разработанных для кражи конфиденциальной информации пользователей, быстро набрала популярность. Обычно их называют Infostealers, а в российских кругах киберпреступности они известны как stylers (стилеры). Эти угрозы не представляют собой единственный вирус, а скорее обширную и постоянно развивающуюся семью вредоносного ПО, включая, но не ограничиваясь RedLine, Raccoon и Vidar.

Эти трояны работают очень похоже, обычно включая следующие шаги:

Шаг 1. Инфицируйте компьютеры или браузеры с помощью фишинговых ссылок, взломанного программного обеспечения, вредоносных установщиков или других опасных загрузок.

Шаг 2. Экспортируйте локальные данные, включая сохраненные в браузере учетные данные для входа, информацию для автозаполнения, файлы cookie и историю просмотров.

Шаг 3. Сканируйте информацию о системе, такую как IP-адреса, версии операционных систем и аппаратные отпечатки.

Шаг 4. Соберите данные о заявке пользователя и файлах, включая журналы чата, данные электронной почты и даже информацию о кредитной карте.

Шаг 5. Наконец, упакуйте все украденные данные в журналы и передайте их обратно на сервер злоумышленника.

Эти журналы называются Stealer logs и продаются как продукты в даркнете, на подпольных форумах и в каналах Telegram, и часто используются для финансового мошенничества, кражи средств и других злонамеренных преступных действий.

В феврале 2025 года канал Telegram под названием Alen Txtbase привлек внимание сообщества безопасности. Этот канал постоянно публиковал различные логи кражи данных и продавал их через модель подписки для получения прибыли. Согласно The Register, общий объем записанных данных достиг ошеломляющих 1,5 ТБ, содержащих 23 миллиарда строк украденных логов. Каждая строка обычно состоит из электронной почты/имени пользователя, пароля, источника веб-сайта или приложения и других метаданных. 

Перед Alen Txtbase в 2023 году появилась аналогичная спорная коллекция логов Stealer, известная как Naz.API. Ее содержимое было впоследствии проанализировано сообществом безопасности и импортировано в различные платформы для запроса утечек данных, такие как Have I Been Pwned.

Значительная часть текущего набора данных Alen Txbase объемом 1,5 ТБ состоит из переработанных данных Naz.API и других старых утечек. После дедупликации по HIBP, журналы кражи Alen Txbase выявили в общей сложности 284 миллиона уникальных адресов электронной почты.

Учитывая огромный масштаб базы данных и разнообразие ее источников, множество предприятий и поставщиков услуг обнаружили учетные данные своих пользователей в этих журналах. Именно во время этого инцидента X-VPN выявил, что некоторые учетные данные для входа пользователей были скомпрометированы, что побудило нас проактивно выпустить это уведомление о безопасности.

Дополнительное чтение: Потенциальные риски менеджеров паролей в браузерах

Хотя эта утечка учетных данных не была вызвана уязвимостью браузера, она подчеркивает важную реальность: привычное использование встроенных менеджеров паролей в браузерах, таких как Chrome, Safari, Edge и Firefox, действительно может увеличить потери, понесенные в результате успешной эксплуатации уязвимостей вредоносным ПО.

Основная цель менеджеров паролей на основе браузеров заключается в помощи пользователям в запоминании учетных данных и обеспечении быстрого входа в систему, а не в защите от атак вредоносного ПО и троянов. По сравнению с профессиональными менеджерами паролей, самым большим недостатком встроенных инструментов браузеров — помимо отсутствия многих продвинутых функций безопасности и строгих средств контроля доступа — является их относительно простая модель безопасности.

Многие браузеры полагаются на системные учетные записи или учетные записи браузера в качестве корня шифрования, а не на выделенный мастер-ключ для защиты хранилищ паролей пользователей. Например:

• Chrome и Edge используют механизмы шифрования операционной системы, такие как DPAPI в Windows и Keychain в macOS.
• Safari зависит от Keychain macOS/iOS. 
• Функции синхронизации между устройствами основаны на учетных записях Google, Apple или Microsoft.

С точки зрения архитектуры безопасности это означает, что шифрование, защищающее хранилища паролей браузера, часто напрямую связано с безопасностью учетной записи входа в систему. Как только злоумышленник получает системные привилегии через троян или успешно крадет учетные данные для входа в систему, он обычно может расшифровать хранилище паролей браузера локально, получая доступ ко всем сохраненным учетным данным.

Эта архитектурная характеристика является одной из основных причин широкого распространения утечек учетных данных в сторонних браузерах. Как только устройство скомпрометировано, хранилище паролей браузера становится легкой и ценной целью для инфостилеров, независимо от того, насколько безопасным пользователь считает свой браузер.

Поэтому мы постоянно советуем всем пользователям никогда не сохранять пароли в сторонних браузерах, особенно тех, которые связаны с критическими учетными записями.

Наша постоянная приверженность безопасности и конфиденциальности пользователей

Этот инцидент с утечкой учетных данных стороннего браузера служит ярким напоминанием: безопасность ваших устройств, привычки управления паролями и общая защита конфиденциальности неразрывно связаны. Даже когда служба VPN поддерживает строгие стандарты безопасности, учетные данные, хранящиеся локально на скомпрометированном устройстве, все равно могут быть украдены незаметно.

В будущем X-VPN продолжит полагаться на Dark Web Monitor, защиту браузера и многоуровневую структуру сотрудничества в области безопасности, чтобы предоставить нашим пользователям более проактивную, прозрачную и проверяемую защиту. Мы всегда готовы принимать немедленные меры, когда обнаруживаются потенциальные риски, предоставляя своевременные уведомления и четкие, практические решения.

Наша миссия выходит далеко за рамки предложения продукта VPN; мы постоянно стремимся помочь каждому пользователю лучше защищать свою конфиденциальность и безопасность в сложной и постоянно меняющейся онлайн-среде.

Если у вас есть какие-либо проблемы с безопасностью или вы хотите поделиться предложениями, пожалуйста, свяжитесь с нами по адресу: security@xvpn.io.

Искренние благодарности всем пользователям за вашу поддержку,

Команда X-VPN