Не фішинг і не витік: як Infostealer зібрав 420 000 облікових записів Binance

27 січня 2026 року дослідник безпеки Ієремія Фаулер виявив відкриту базу даних із 149 млн скомпрометованих облікових записів. Серед них близько 420 тис записів, пов'язаних із Binance. Це не був злом біржі і не класичний витік даних Binance, а результат масової роботи шкідливих програм класу Infostealer, які збирали дані прямо з пристроїв користувачів.

Розбираємося, що саме сталося, чим небезпечний Infostealer і що робити, якщо є підозра на компрометацію.

Коротко про головне

• Інцидент почався з відкритої бази даних, а не зі злому сервісу — 149 млн облікових записів, включно з близько 420 000, пов'язаних із Binance, були зібрані шкідливим ПЗ з пристроїв користувачів.
• Infostealer краде більше, ніж паролі — cookies та session-токени дозволяють обходити 2FA і входити в акаунти як легітимний користувач.
• Один заражений пристрій відкриває доступ до всього — пошта, біржі, банки, месенджери та корпоративні сервіси потрапляють в один лог.
• Дані були готові до негайного зловживання — метадані, ідентифікатори пристроїв і прямі URL спрощували автоматичний захоплення акаунтів.
• Компрометацію важко розпізнати одразу — перші ознаки виглядають як звичайні входи, сповіщення про нові сесії або незнайомі API-ключі.
• Реальна шкода починається після отримання доступу — атакуючі підміняють реквізити виплат, розсилають фішингові повідомлення від імені компанії і напряму виводять кошти.
• Пристрій користувача — головний фактор безпеки: ізольовані середовища, апаратна 2FA, суворі політики ПЗ і контроль сесій знижують ризик таких атак.

Що таке Infostealer і що саме він краде

Infostealer (стілер) — клас шкідливого ПЗ, що спеціалізується на тихому зборі конфіденційних даних із заражених пристроїв. На відміну від шифрувальників або банківських троянів, стілери працюють непомітно, не порушуючи роботу системи, щоб жертва не запідозрила компрометацію якомога довше.

Браузери зберігають логіни та паролі в локальних базах даних. Стілери вміють витягувати ці дані, навіть якщо вони «захищені» вбудованими механізмами браузера. Збережені адреси, номери телефонів, дані платіжних карток потрапляють у лог цілком.

Але найнебезпечніше — cookies та session-токени. Вони містять тимчасові ключі аутентифікації, які дозволяють обійти логін взагалі. Атакуючий просто імпортує вкрадені cookies у свій браузер і отримує доступ до вже залогіненої сесії. Навіть якщо у вас увімкнена двофакторна аутентифікація, активна сесія залишається валідною до її примусового розриву.

Це критичний момент: 2FA захищає момент входу, але не захищає вже розпочату сесію.

Криптогаманці на кшталт MetaMask, Phantom, Rabby зберігають дані локально в розширеннях браузера. Деякі сімейства стілерів спеціалізуються на витяганні seed-фраз і приватних ключів.

Що знайшли дослідники і при чому тут Binance

Ієремія Фаулер виявив публічно доступну базу даних обсягом 96 GB без шифрування та парольного захисту. Усередині понад 149 млн унікальних пар логін-пароль із метаданими.

База містила записи від десятків популярних сервісів:

• 48 млн Gmail,
• 17 млн Facebook,
• 6,5 млн Instagram,
• 4 млн Yahoo,
• 420 000 Binance,
• плюс банківські сервіси, освітні домени (.edu), державні акаунти (.gov).

Наявність Binance-записів не означає, що біржу було зламано. Аналіз структури даних показує, що інформація збиралася через шкідливе ПЗ Infostealer із заражених користувацьких пристроїв, а не витягувалася із серверів компанії. Це принципово інший тип атаки. Не корпоративний витік, а масова компрометація кінцевих користувачів.

Чому криптоакаунти привертають особливу увагу атакуючих?

Успішне захоплення криптоакаунта дає негайний доступ до ліквідних активів, які можна вивести за хвилини. А один інфікований профіль користувача зазвичай містить зв'язку: пошта → біржа → хмара → месенджери → корпоративні інструменти. На практиці лог Binance майже завжди сусідує з логами Gmail, Outlook, Telegram, що відкриває можливості для комплексних атак, від відновлення доступу через пошту до фішингу контрагентів.

База була організована з використанням зворотних ідентифікаторів (формат com.binance.user.device — як доменні імена, тільки задом наперед) і унікальних hash-значень для кожного запису. Така структура дозволяє легко групувати дані за жертвами та автоматизувати масовий перебір вкрадених паролів на різних платформах.

Практичний сценарій атаки на бізнес після Infostealer-компрометації

Let's examine a typical attack chain on a company conducting crypto operations — payment acceptance, partner payouts, contractor settlements.

Етап 1: Зараження

Фінансовий менеджер або співробітник операційного відділу завантажує «крякнуту» версію популярного ПЗ для роботи. Може бути Adobe, офісні утиліти, VPN-клієнти. Альтернативний вектор — розширення браузера, яке обіцяє зручність: конвертери валют, трекери цін криптовалют. Ще варіант — фішингове листа з файлом Excel або вкладенням, замаскованим під рахунок від контрагента. Під час відкриття такого файлу запускається прихований шкідливий код.

Етап 2: Збір та передача вкрадених даних

Infostealer запускається у фоні, збирає дані: паролі, cookies, токени, файли та надсилає їх на сервер атакуючого. Один лог (набір даних з одного пристрою) зазвичай продається на тіньових маркетплейсах за $5–$50 залежно від вмісту.

Етап 3: Продаж доступу

Логи потрапляють на Telegram-канали, даркнет-маркетплейси спеціалізовані форуми. Покупці фільтрують логи за критеріями: країна, наявність криптобірж, корпоративні домени, банківські сервіси.

Етап 4: Захоплення акаунта

Атакуючий імпортує вкрадені cookies у свій браузер і отримує доступ до акаунтів без введення пароля та обходу 2FA, якщо сесія ще активна. Входить у пошту, біржу, месенджери. Якщо session-токени втратили чинність, використовує вкрадені паролі для входу, часто з тих самих пристроїв або IP-адреси через проксі, щоб не викликати підозр у систем моніторингу.

Етап 5: Дожим та монетизація

Тут починається реальна шкода:

• Підмінна реквізитів виплат. Атакуючий входить у корпоративну пошту, знаходить ланцюжки листування з підрядниками, партнерами. У момент, коли має відбутися виплата, надсилає листа з «оновленими реквізитами», але адреса криптогаманця або банківські дані вже його. Листа виглядає легітимно, відправлено з реальної скриньки, в контексті існуючого листування.
• Фішинг співробітників та контрагентів. Скомпрометований Telegram або Slack дає доступ до робочих чатів. Атакуючий пише колегам від імені жертви: «терміново потрібно підтвердити транзакцію», «відправ seed-фразу для перевірки», «клікни на цей документ». Такі повідомлення сприймаються як легітимні, тому що відправлені знайомим акаунтом.
• BEC-сценарії (Business Email Compromise). Класика: листа від «CEO» фінансовому директору з вимогою провести терміновий платіж. Якщо атакуючий скомпрометував пошту реального керівника — листа буде відправлено з його скриньки, підпис збігатиметься, стиль спілкування теж (шкідливе ПЗ дає доступ до всього листування, можна вивчити манеру спілкування).
• Пряма крадіжка коштів. Якщо в лозі є доступ до біржі з активами — атакуючий виводить кошти напряму. Створює нову адресу для виведення (якщо whitelist не увімкнений), проходить KYC від імені жертви (якщо є доступ до пошти для підтвердження), виводить криптовалюту на міксери або DEX.
• Створення API-ключів для автоматизованих атак. Тихе створення API-ключа на біржі з правами на торгівлю. Потім штучне роздування ціни з наступним скиданням монет, фіктивна торгівля для створення обсягів, використання акаунта жертви для маніпуляцій ринком.

Як зрозуміти, що облікові дані витекли через Infostealer

Непрямі ознаки на пристрої, що облікові дані Binance або інші витекли в мережу:

• Підозрілі процеси та файли. Невідомі процеси в диспетчері завдань з іменами, схожими на системні (svchost.exe, але в неправильній директорії), незвична мережева активність. Перевірте автозавантаження Windows (msconfig, Task Scheduler), чи немає там незнайомих записів.
• Розширення браузера, які ви не встановлювали. Деякі стілери маскуються під розширення або встановлюють їх додатково, щоб закріпитися в системі та продовжувати роботу після перезавантаження. Перевірте chrome://extensions/ та аналоги в інших браузерах.
• «Крякнутий» софт, сумнівні завантаження. Пригадайте: чи встановлювали ви в останні місяці щось із неофіційних джерел? Моди для ігор, зламані програми, «безкоштовні» версії платного ПЗ — це основні вектори поширення стілерів.
• Раптові сповіщення про входи. Листи від сервісів із текстом «новий вхід в акаунт із пристрою X з країни Y» — особливо якщо країна не ваша.

Ознаки в акаунтах:

• Входи з нових пристроїв або IP-адрес. Перевірте історію активності в налаштуваннях акаунтів (Google, Facebook, біржі зазвичай показують список активних сесій). Незнайомі пристрої, дивні локації — привід бити на сполох.
• Спроби відновлення пароля, які ви не ініціювали. Отримали листа «запит на скидання пароля», хоча нічого не робили — можливо, атакуючий намагається отримати доступ через пошту.
• Нові API-ключі, адреси для виведення, пристрої в whitelist. Зайдіть у налаштування біржі: перевірте активні API-ключі (якщо не створювали — видаліть), список адрес для виведення (whitelist), довірені пристрої.
• Зміни в налаштуваннях безпеки. Вимкнена 2FA, змінений номер телефону, доданий новий email для відновлення — все це може бути діями атакуючого, який готує ґрунт для захоплення.
• Листи про логіни/дії, які ви не здійснювали. «Ви змінили пароль», «створений новий API-ключ», «виконана транзакція» — якщо не ви, значить хтось інший.

Що робити прямо зараз, якщо є підозра на Infostealer-витік

Перші 30 хвилин:

1. Змініть пароль основної пошти та увімкніть MFA.

Email is the key to everything. If the attacker controls email, they can recover access to other services. Change password to strong one (minimum 16 characters, random generation), enable two-factor authentication. Best option is hardware key (YubiKey) or Passkeys (FIDO2) where supported. Avoid SMS codes — they're vulnerable to SIM-swap attacks.

Безпека криптоакаунтів будується на тих самих принципах: унікальні паролі для кожної біржі, апаратна 2FA, whitelist адрес для виведення коштів. Щоб зрозуміти, як захиститися від Infostealer, запам'ятайте: не зберігайте паролі в браузері, регулярно скануйте систему антивірусом, а для критичних операцій використовуйте окремий пристрій або live-систему. Також остерігайтеся криптофейків, шахраї підробляють і браузерні розширення і навіть CAPTCHA.

2. Змініть пароль на Binance (або іншій біржі) та відкличте всі активні сесії.

Go to security settings → find option "End all sessions" or "Log out on all devices." Change password immediately after this so attacker can't log in again with old cookies.

3. Перевірте та видаліть API-ключі.

Налаштування API → видаліть всі ключі, які не пам'ятаєте або не використовуєте активно. Якщо використовуєте торговельних ботів — перестворіть ключі з мінімально необхідними правами (тільки торгівля, без виведення).

4. Відключіть зайві пристрої та адреси виведення.

Check list of trusted devices, delete unfamiliar ones. If there's whitelist function for withdrawal addresses — make sure the list contains only your wallets.

5. Freeze critical operations until investigation.

Якщо йдеться про корпоративний акаунт або акаунт із великими сумами: вимкніть можливість виведення коштів на 24-48 годин (на деяких біржах є «security lock»). Призупиніть зміну реквізитів виплат, узгодження будь-яких транзакцій переведіть у ручний режим з подвійною перевіркою.

Перші 24 години:

1. Повне чищення або перевстановлення зараженого пристрою.

Antivirus scanning may not detect all stealer components. Most reliable option is complete OS reinstallation with disk formatting. If impossible (work device, critical data) — at least isolate it from network until specialist check.

2. Password rotation "by chain".

Змініть паролі послідовно, починаючи з найкритичніших:

• Криптобіржі (всі, якими користуєтеся);
• Хмарні сховища (Google Drive, Dropbox — там можуть бути бекапи seed-фраз або скріни);
• Месенджери (Telegram, Discord, Slack);
• Фінансові сервіси (банки, PayPal, платіжні системи);
• Соцмережі (якщо там є бізнес-акаунти або групи).

3. Перевірте правила пересилання та делегування в пошті.

Зайдіть у налаштування пошти (Gmail, Outlook) → Фільтри/Правила пересилання. Атакуючі часто створюють приховане правило, яке автоматично пересилає копії всіх листів на їхню адресу. Також перевірте список делегованих акаунтів (хто має доступ до вашої пошти).

4. Відкличте OAuth-токени сторонніх застосунків.

Налаштування безпеки → Підключені застосунки. Видаліть всі підозрілі або невикористовувані інтеграції. Деякі стілери експлуатують OAuth-токени для доступу до акаунтів.

5. Для бізнесу: інцидент-репорт та перевірка змін.

Якщо скомпрометований корпоративний акаунт:

• Складіть інцидент-репорт: що скомпрометовано, коли виявлено, які дані зачеплені;
• Перевірте всі зміни в платіжних шаблонах, реквізитах контрагентів за останні 30-60 днів;
• Введіть обов'язкове подвійне підтвердження для виведень: будь-яка транзакція вище порогу X вимагає підтвердження двох співробітників через різні канали (наприклад, email + Telegram-дзвінок);
• Повідомте партнерів та контрагентів про можливу компрометацію, попередьте про ризик фішингових листів від вашого імені;
• Якщо є юридичний/compliance відділ — повідомте їм для оцінки регуляторних зобов'язань (GDPR, NIS2 тощо).

Висновок

Інцидент із базою в 149 мільйонів облікових записів — не поодинокий випадок, а відображення глобального тренду. Атаки через infostealer зміщують фокус загрози з серверів компаній на пристрої користувачів. А класичні заходи захисту тут безсилі, адже якщо атакуючий отримав валідні дані для авторизації, то він входить як легітимний користувач.

Для криптоіндустрії це особливо критично. Злом акаунта Binance, причини якого часто криються в скомпрометованих пристроях, може призвести до втрати коштів за хвилини без можливості відкату або заморожування. Крадіжка даних через шкідливі програми відбувається непомітно: Infostealer збирає паролі з браузерів, перехоплює session-токени та передає їх атакуючим.

Безпека криптооперацій починається з пристрою кінцевого користувача. Сильні паролі, апаратна 2FA, ізольовані середовища, суворі політики встановлення ПЗ — це не параноя, а необхідний мінімум. Для компаній, що працюють із криптовалютами, важливо вибудувати багаторівневу систему захисту, де компрометація однієї ланки не призводить до краху всього ланцюга.

Зв'яжіться з командою BitHide, щоб дізнатися, як наш криптогаманець допомагає працювати з криптовалютами безпечно.