← Блог
113 мільйонів вкрадених паролів: як Panoptic виявив Daxus.pro — сервіс продажу stealer logs
Наша платформа автоматично виявила два пости на Dark Web форумах з 70 та 43 мільйонами credentials. Розслідування показало — за ними стоїть один комерційний сервіс Daxus.pro, що агрегує дані з інфостілерів.
Кібербезпека · 2026-04-08
Це не теоретичне дослідження. Це реальний кейс з нашої платформи. У квітні 2026 року Panoptic автоматично виявив два критичні пости на Dark Web форумах — загалом понад 113 мільйонів скомпрометованих credentials. Ми провели повне розслідування і встановили джерело.
Вступ
Panoptic — це платформа з моніторингу Dark Web, яка працює 24/7. Наш pipeline автоматично сканує 20+ закритих форумів, класифікує контент за допомогою LLM та миттєво сповіщає клієнтів про загрози.
У перших числах квітня 2026 року система автоматично класифікувала два пости на різних форумах як critical. Обидва стосувались масивних дампів credentials у форматі URL:Login:Password. Масштаб — десятки мільйонів рядків.
Ми вирішили провести повне розслідування: хто за цим стоїть, звідки ці дані та чому це найнебезпечніший тип витоку.
Що знайшла платформа
Автоматичний моніторинг Dark Web через Tor Fleet — кластер із Tor контейнерів з HAProxy балансером та circuit diversity — виявив два пости на різних форумах:
Пост 1: PwnForums (Breach Forums mirror)
Заголовок: "70.13M | ULP | URL:LOG:PASS | DAXUS.PRO | UHQ+"
Автор: FeatherFall
Формат: URL:Login:Password (ULP)
Обсяг: 70.13 мільйонів рядків
Позначення: UHQ+ (Ultra High Quality)
Пост 2: DNA Forums (darknet77)
Заголовок: "URL:LOG:PASS | 43.22M | STRICTLY PRIVATE | UHQ+"
Автор: той самий продавець (FeatherFall)
Формат: URL:Login:Password (ULP)
Обсяг: 43.22 мільйонів рядків
Позначення: Strictly Private, UHQ+
Наш LLM-класифікатор — Claude Haiku на AWS Bedrock — автоматично присвоїв обом постам:
Рівень загрози: Critical Категорія: credentials / stealer_logs Час від появи поста до класифікації: менше 30 хвилин
Загальний обсяг: 70.13M + 43.22M = понад 113 мільйонів скомпрометованих credentials.
Розслідування: як ми дістали вміст
Головна складність роботи з Dark Web форумами — вони закриті. Простий HTTP-запит не дасть нічого корисного. Ось з чим ми зіткнулися:
DNA Forums (XenForo)
DNA Forums побудований на движку XenForo і використовує модель "Reply & React" — щоб побачити вміст поста, потрібно: 1. Мати акаунт з певною кількістю повідомлень 2. Відповісти на пост або поставити реакцію 3. Тільки після цього розкривається прихований контент
Наша платформа вміє працювати з цією механікою автоматично.
PwnForums (MyBB)
PwnForums працює на MyBB. Тут ми використовували парсинг JSON-LD schema та витягнення тексту з post_body — стандартна процедура для нашого crawler.
Що ми знайшли всередині
Обидва пости рекламували один і той самий сервіс — Daxus.pro:
Сайт: daxus.pro
Telegram бот: @DaxusProBot
Канал новин: t.me/daxushub
Модель: комерційна підписка на доступ до stealer logs
Один продавець, дві платформи, одне джерело даних.
Що таке Daxus.pro
Daxus.pro — це комерційний сервіс продажу stealer logs. Він не зламує конкретні компанії. Він агрегує дані з інфостілерів — шкідливого ПЗ, яке масово збирає credentials з браузерів заражених комп'ютерів.
Як це працює
1. Інфостілер (RedLine, Raccoon, Vidar, Lumma та інші) заражає комп'ютер жертви 2. Малвар витягує всі збережені паролі з браузера — Chrome, Firefox, Edge 3. Також збирає cookies, session tokens, дані автозаповнення, криптогаманці 4. Дані відправляються на сервер оператора 5. Сервіси на кшталт Daxus.pro агрегують логи від тисяч операторів 6. Продають доступ через підписку або разові дампи
Формат даних
Дані у форматі ULP (URL:Login:Password):
~~~ https://accounts.google.com:user@gmail.com:MyP@ssw0rd123 https://banking.privatbank.ua:+380501234567:BankPass456 https://login.microsoftonline.com:admin@company.com:Corp2026! https://console.aws.amazon.com:devops@startup.io:AwsK3y$ecret ~~~
Кожен рядок — це доступ до конкретного акаунту конкретної людини на конкретному сервісі.
70.13M + 43.22M = понад 113 мільйонів таких рядків.
Це не breach однієї компанії. Це cross-service dump з тисяч інфікованих машин по всьому світу.
Які сервіси під загрозою
Stealer logs — це не витік бази одного сервісу. Інфостілер забирає все, що зберігається в браузері жертви. Тому в одному дампі можуть бути credentials до:
Фінанси
Банки: ПриватБанк, monobank, Ощадбанк
Платіжні системи: PayPal, Stripe, Wise
Криптобіржі: Binance, Coinbase, Bybit
Корпоративні ресурси
Email: Gmail, Outlook, корпоративна пошта
Хмарні сервіси: Google Workspace, Microsoft 365
Інфраструктура: AWS Console, Azure Portal, GCP
VPN, RDP, SSH — прямий доступ до корпоративної мережі
Внутрішні панелі: CRM, ERP, адмін-панелі сайтів
Особисті акаунти
Соцмережі: Facebook, Instagram, X/Twitter, LinkedIn
Месенджери: Telegram Web, Discord, Slack
Ігрові платформи: Steam, Epic Games
Стрімінг: Netflix, Spotify, YouTube Premium
Одна заражена машина = десятки скомпрометованих акаунтів. 113 мільйонів рядків = мільйони жертв.
Чому stealer logs — найнебезпечніший тип витоку
Більшість людей чули про "витоки даних" — коли зламують базу якогось сервісу. Stealer logs — це принципово інша загроза.
Порівняння з традиційними breach
| | Традиційний breach | Stealer logs | |---|---|---| | Що витікає | Credentials одного сервісу | ВСІ credentials з браузера жертви | | Масштаб для жертви | 1 акаунт | 10-50+ акаунтів одночасно | | Свіжість | Часто старі дані (місяці-роки) | Свіжі (дні-тижні) | | Cookies/Sessions | Немає | Є — обхід 2FA | | Пов'язані дані | Тільки email + пароль | URL + login + password + cookies + автозаповнення |
Ключові загрози
1. Обхід 2FA. Stealer logs містять cookies та session tokens. Атакуючий може імпортувати cookie в свій браузер і отримати доступ до акаунту без введення пароля та 2FA коду.
2. Свіжість даних. На відміну від старих breach (LinkedIn 2012, Adobe 2013), stealer logs збирають актуальні паролі. Ті, що використовуються прямо зараз.
3. Cross-service exploitation. Маючи пароль від Gmail жертви, атакуючий може скинути паролі на всіх пов'язаних сервісах. Stealer logs дають повну картину цифрового життя людини.
4. Корпоративні ризики. Один заражений ноутбук співробітника = credentials від VPN, корпоративної пошти, AWS Console, CRM. Це вхідна точка для ransomware та корпоративного шпигунства.
Як захиститися
Для користувачів
1. Перевірте свої credentials на panoptic.com.ua/chat — ми моніторимо Dark Web і можемо сказати, чи є ваші дані у витоках
2. Не зберігайте паролі в браузері. Це перше, що краде інфостілер. Використовуйте password manager: 1Password, Bitwarden або KeePass
3. Увімкніть hardware 2FA. Звичайна SMS або TOTP не захищає від session hijacking. Hardware ключі (YubiKey, Google Titan) — єдиний надійний варіант
4. Регулярно ротуйте паролі для критичних сервісів: банкінг, email, хмарні сервіси
5. Не завантажуйте підозрілі файли. Більшість інфостілерів розповсюджуються через піратське ПЗ, кряки, "безкоштовні" програми
Для бізнесу
1. MDM + Endpoint Protection. Контролюйте пристрої, з яких співробітники мають доступ до корпоративних ресурсів
2. Моніторинг Dark Web. Дізнавайтеся про скомпрометовані credentials ваших співробітників раніше, ніж атакуючі ними скористаються
3. Zero Trust архітектура. Не довіряйте пристрою тільки тому, що він у корпоративній мережі
4. Регулярна ротація credentials. Особливо для сервісних акаунтів, API ключів, доступів до інфраструктури
5. Security Awareness тренінги. Співробітники мають розуміти, чому не можна зберігати паролі в браузері та завантажувати програми з непевних джерел
Як Panoptic це виявив
Наша платформа побудована для автоматичного виявлення саме таких загроз:
Tor Fleet з circuit diversity — кластер контейнерів з Tor, що забезпечує стабільний та анонімний доступ до Dark Web ресурсів через HAProxy балансер
Автоматичний парсинг 20+ Dark Web форумів — включаючи закриті розділи, що вимагають авторизації та специфічної взаємодії
LLM класифікація через Claude Haiku на AWS Bedrock — кожен пост автоматично аналізується, категоризується та отримує рівень загрози
Менше 30 хвилин від появи поста на форумі до класифікації як critical та сповіщення клієнтів
Ми не чекаємо, поки хтось вручну перегляне тисячі постів. Машина робить це безперервно, а людина підключається тільки до критичних знахідок.
Висновок
Це реальний кейс, не теорія. 113 мільйонів credentials продаються через Daxus.pro прямо зараз. Два пости на двох форумах. Один комерційний сервіс. Мільйони потенційних жертв по всьому світу — включаючи Україну.
Stealer logs — це не проблема окремого сервісу. Це системна загроза, яка торкається кожного, хто зберігає паролі в браузері або працює на незахищеному пристрої.
Panoptic допомагає бізнесу дізнатися про загрозу раніше, ніж атакуючі скористаються даними.
Хочете перевірити, чи є ваші корпоративні credentials у Dark Web? Зверніться до нас на panoptic.com.ua.
Перевірити свої облікові дані у Dark Web →
Теги: #Dark Web, #Stealer Logs, #Investigation, #Credentials, #Infostealer, #Threat Intelligence
Схожі статті
- OSINT Chat: 12 розвідувальних інструментів в одному вікні чату — Ми створили AI-аналітика, який одночасно перевіряє санкції, даркнет-форуми, CVE-вразливості, репутацію доменів та IP, корпоративні реєстри й INTERPOL. Один запит — повна розвідувальна картина за 10 секунд.
- 6 джерел витоків за один запит: як Panoptic перевіряє ваші дані по Dark Web, Dehashed та HIBP — LeakCheck, Dehashed (15B+ записів), Have I Been Pwned, Intelligence X, pwndb через Tor, власний DuckDB-індекс — 6 адаптерів працюють паралельно, дедуплікують результати та визначають критичність за типом скомпрометованих даних.
- Як перевірити, чи ваші паролі злито в Dark Web: покроковий гайд — Щодня у Dark Web з'являються мільйони скомпрометованих облікових записів. Ось як дізнатися, чи серед них є ваші — і що з цим робити.
Повернутися до блогу | Panoptic