Оферта за отстъпка за множество лицензи
База данни за заплахи Зловреден софтуер Storm Stealer

Storm Stealer

До Mezo през Зловреден софтуер, Крадциг
Превод на:

Изследователи по киберсигурност потвърдиха наличието на нова, сложна заплаха, насочена към потребителите на Google Chrome, Microsoft Edge и Mozilla Firefox. Известна като Storm, тази усъвършенствана програма за кражба на информация работи като многофункционална платформа за атаки, комбинирайки кражба на пароли, компрометиране на бисквитки на сесия за заобикаляне на двуфакторно удостоверяване и събиране на данни от платежни карти в една единствена злонамерена услуга.

Предлаган като инструментариум под наем, Storm значително намалява бариерата за навлизане на киберпрестъпниците, като същевременно излага на потенциален риск повече от милиард потребители на браузъри.

Inside Storm: Тих и изтънчен крадец на информация

Storm е проектиран да избягва откриването, като същевременно максимизира извличането на данни. Той заобикаля инструментите за сигурност на крайните точки, дистанционно декриптира идентификационните данни на браузъра и позволява на атакуващите да възстановяват отвлечени сесии, без да задействат аларми.

За разлика от традиционния зловреден софтуер, който разчита на локални техники за декриптиране, Storm работи със скрита архитектура. Той тихо извлича чувствителни данни от браузъра, включително идентификационни данни, бисквитки за сесия и информация за портфейли с криптовалута, към контролирани от атакуващите сървъри, където декриптирането се извършва далеч от заразената система. Този дистанционен подход му позволява да избегне задействането на съвременни защитни механизми.

Еволюцията на техниките за кражба на идентификационни данни

Методите за кражба на идентификационни данни са претърпели значителна трансформация. В миналото нападателите са извличали и декриптирали данни директно на устройствата на жертвите, използвайки SQLite библиотеки за достъп до хранилищата за идентификационни данни на браузъра. С подобряването на решенията за сигурност обаче подобна дейност е станала по-лесна за откриване.

Въвеждането на App-Bound Encryption от Google през 2024 г., започвайки с Chrome 127, допълнително усложни тези атаки, като обвърза ключовете за криптиране със самия браузър. Дори когато нападателите се опитаха да използват протоколите за отстраняване на грешки в браузъра или да инжектират злонамерен код, системите за сигурност често успяваха да идентифицират подозрително поведение.

Storm представлява следващата стъпка в тази еволюция, като изоставя изцяло локалното декриптиране и прехвърля операциите към контролирана от нападателя инфраструктура, като по този начин минимизира откриваемите следи на машината на жертвата.

Декриптиране от страна на сървъра и обхват между браузъри

Storm е по-добър от предишните крадци на информация, като напълно се справя с декриптирането на отдалечени сървъри. Той поддържа браузъри, базирани на Chromium, и Gecko, което го прави изключително гъвкав в различни среди.

След като откраднатите данни бъдат декриптирани, те се доставят до централизиран операторски панел, използван от киберпрестъпниците. Този панел въвежда автоматизация във фазата на експлоатация, позволявайки на атакуващите ефективно да използват компрометирани данни в голям мащаб.

Автоматизирано отвличане на сесии и корпоративен риск

Особено опасна характеристика на Storm е способността му да възстановява удостоверени сесии. Чрез предоставяне на Google Refresh Token заедно с географски съответстващ SOCKS5 прокси, нападателите могат тихомълком да възстановят активната сесия на жертвата, без да задействат предизвикателства за удостоверяване.

Тази способност има сериозни последици:

  • Корпоративните среди могат да бъдат изложени на риск чрез един-единствен компрометиран браузър, предоставяйки достъп до SaaS платформи, вътрешни системи и облачна инфраструктура.
  • Отделните потребители са изправени пред поглъщане на акаунти, финансови измами и допълнителни целенасочени атаки, без да е необходимо директно да заобикалят двуфакторното удостоверяване.

Повторното използване на вече удостоверени сесии ефективно обезсилва традиционните защити за влизане.

Нискобюджетна, силно въздействаща киберпрестъпност като услуга

Storm е достъпен за киберпрестъпниците за едва 1000 долара на месец, което го прави достъпен, но мощен инструмент. Тази достъпност ускорява разпространението на усъвършенствани възможности за атаки, позволявайки на по-малко сложните злонамерени лица да изпълняват високоефективни кампании.

Комбинацията от ниска цена, скритост и автоматизация бележи значителна промяна към мащабируеми, базирани на услуги операции за борба с киберпрестъпленията.

Защитни мерки: Намаляване на излагането на буря

Експертите по сигурността подчертават важността на укрепването на ежедневните практики за киберсигурност, за да се смекчат рисковете, породени от заплахи като Storm:

  • Избягвайте да изтегляте софтуер от ненадеждни или неофициални източници.
  • Бъдете бдителни срещу фишинг и други тактики на социално инженерство.
  • Използвайте уникални пароли за всеки акаунт и услуга.
  • Активирайте двуфакторно удостоверяване, където е възможно, и използвайте пароли, когато се поддържат.

Въпреки че никоя отделна мярка не гарантира пълна защита, многопластовата сигурност значително намалява вероятността от компрометиране.

Тенденция

Подновяване на облачно хранилище - измама с имейл,...

Фишинг, Спам
Неочакваните имейли, които изискват спешни действия, винаги трябва да се третират с повишено внимание. Киберпрестъпниците разчитат на паника, любопитство и бързина, за да манипулират потребителите и да ги накарат да вземат лоши решения. Така наречената имейл измама „Неуспешно подновяване на облачното хранилище“ е ясен пример за това колко убедителни могат да изглеждат тези заплахи. Въпреки...

Най-гледан

Зареждане...