Storm Stealer
أكد باحثون في مجال الأمن السيبراني وجود تهديد جديد متطور يستهدف مستخدمي متصفحات جوجل كروم ومايكروسوفت إيدج وموزيلا فايرفوكس. يُعرف هذا التهديد باسم "ستورم"، وهو برنامج متطور لسرقة المعلومات، ويعمل كمنصة هجوم متعددة الوظائف، حيث يجمع بين سرقة كلمات المرور، واختراق ملفات تعريف الارتباط الخاصة بالجلسات لتجاوز المصادقة الثنائية، وجمع بيانات بطاقات الدفع، كل ذلك في خدمة خبيثة واحدة.
بفضل تقديمها كمجموعة أدوات قابلة للتأجير، تعمل Storm على خفض حاجز الدخول بشكل كبير بالنسبة للمجرمين الإلكترونيين، بينما تعرض أكثر من مليار مستخدم للمتصفح لخطر محتمل.
جدول المحتويات
داخل العاصفة: سارق معلومات صامت ومتطور
صُمم برنامج Storm لتجنب الكشف عنه مع تحقيق أقصى قدر من استخراج البيانات. فهو يتجاوز أدوات أمان نقاط النهاية، ويقوم بفك تشفير بيانات اعتماد المتصفح عن بُعد، ويتيح للمهاجمين استعادة الجلسات المخترقة دون إثارة أي إنذارات.
على عكس البرامج الضارة التقليدية التي تعتمد على تقنيات فك التشفير المحلية، يعمل برنامج Storm الخبيث ببنية تعتمد على التخفي. فهو يقوم بتسريب بيانات المتصفح الحساسة، بما في ذلك بيانات الاعتماد وملفات تعريف الارتباط الخاصة بالجلسات ومعلومات محافظ العملات المشفرة، بهدوء إلى خوادم يتحكم بها المهاجم، حيث يتم فك التشفير بعيدًا عن النظام المصاب. يتيح له هذا النهج عن بُعد تجنب تفعيل أنظمة الحماية الأمنية الحديثة.
تطور أساليب سرقة بيانات الاعتماد
شهدت أساليب سرقة بيانات الاعتماد تحولاً جذرياً. ففي السابق، كان المهاجمون يستخرجون البيانات ويفكّون تشفيرها مباشرةً على أجهزة الضحايا باستخدام مكتبات SQLite للوصول إلى مخازن بيانات اعتماد المتصفح. ولكن مع تطور حلول الأمان، أصبح اكتشاف هذا النوع من النشاط أسهل.
أدى إطلاق جوجل لتقنية التشفير المرتبط بالتطبيقات في عام 2024، بدءًا من متصفح كروم 127، إلى زيادة تعقيد هذه الهجمات من خلال ربط مفاتيح التشفير بالمتصفح نفسه. وحتى عندما حاول المهاجمون استغلال بروتوكولات تصحيح أخطاء المتصفح أو حقن برمجيات خبيثة، كانت أنظمة الأمان قادرة في كثير من الأحيان على رصد السلوك المشبوه.
يمثل Storm الخطوة التالية في هذا التطور من خلال التخلي عن فك التشفير المحلي تمامًا ونقل العمليات إلى بنية تحتية يتحكم بها المهاجم، مما يقلل من الآثار القابلة للكشف على جهاز الضحية.
فك التشفير من جانب الخادم والوصول عبر المتصفحات
يتفوق برنامج Storm على برامج سرقة المعلومات السابقة من خلال معالجة فك التشفير بالكامل على الخوادم البعيدة. وهو يدعم متصفحات Chromium وGecko، مما يجعله متعدد الاستخدامات للغاية في مختلف البيئات.
بمجرد فك تشفير البيانات المسروقة، يتم تسليمها إلى لوحة تحكم مركزية يستخدمها مجرمو الإنترنت. تُدخل هذه اللوحة نظام التشغيل الآلي في مرحلة الاستغلال، مما يُمكّن المهاجمين من الاستفادة بكفاءة من البيانات المخترقة على نطاق واسع.
اختطاف الجلسات الآلي ومخاطر المؤسسة
من أخطر ميزات برنامج Storm قدرته على استعادة الجلسات الموثقة. فباستخدام رمز تحديث جوجل (Google Refresh Token) مع خادم وكيل SOCKS5 مطابق جغرافيًا، يستطيع المهاجمون إعادة إنشاء جلسة الضحية النشطة دون أي تدخل من جانبهم.
لهذه القدرة آثار خطيرة:
- قد تتعرض بيئات المؤسسات للخطر من خلال متصفح واحد مخترق، مما يمنح الوصول إلى منصات SaaS والأنظمة الداخلية والبنية التحتية السحابية.
- يواجه المستخدمون الأفراد عمليات الاستيلاء على حساباتهم، والاحتيال المالي، والمزيد من الهجمات المستهدفة دون الحاجة إلى تجاوز المصادقة الثنائية بشكل مباشر.
إن إعادة استخدام الجلسات التي تم التحقق من صحتها مسبقاً تلغي فعلياً إجراءات الحماية التقليدية لتسجيل الدخول.
خدمات مكافحة الجرائم الإلكترونية منخفضة التكلفة وعالية التأثير
يتوفر برنامج Storm للمجرمين الإلكترونيين مقابل 1000 دولار شهريًا فقط، مما يجعله أداة سهلة الاستخدام وفعّالة في الوقت نفسه. هذه التكلفة المعقولة تُسرّع من انتشار قدرات الهجوم المتقدمة، مما يُمكّن الجهات الفاعلة الأقل خبرة من تنفيذ حملات فعّالة للغاية.
إن الجمع بين التكلفة المنخفضة والتخفي والأتمتة يمثل تحولاً كبيراً نحو عمليات مكافحة الجرائم الإلكترونية القابلة للتطوير والقائمة على الخدمات.
التدابير الوقائية: الحد من التعرض للعاصفة
يؤكد خبراء الأمن على أهمية تعزيز ممارسات الأمن السيبراني اليومية للتخفيف من المخاطر التي تشكلها تهديدات مثل Storm:
- تجنب تنزيل البرامج من مصادر غير موثوقة أو غير رسمية.
- ابق متيقظًا ضد التصيد الاحتيالي وغيره من أساليب الهندسة الاجتماعية.
- استخدم كلمات مرور فريدة لكل حساب وخدمة.
- قم بتفعيل المصادقة الثنائية كلما أمكن ذلك، واعتمد مفاتيح المرور عند دعمها.
على الرغم من أنه لا يوجد إجراء واحد يضمن الحماية الكاملة، إلا أن الأمن متعدد الطبقات يقلل بشكل كبير من احتمالية الاختراق.
