Cotització de descompte per a múltiples llicències
Base de dades d'amenaces Programari maliciós Storm Stealer

Storm Stealer

El Mezo el Programari maliciós, Ladrons
Traduir a:

Investigadors de ciberseguretat han confirmat una nova i sofisticada amenaça dirigida als usuaris de Google Chrome, Microsoft Edge i Mozilla Firefox. Conegut com a Storm, aquest lladre d'informació avançat funciona com una plataforma d'atac multifuncional, combinant el robatori de contrasenyes, el compromís de galetes de sessió per a l'elusió de l'autenticació de dos factors i la recopilació de dades de targetes de pagament en un únic servei maliciós.

Oferit com un conjunt d'eines de lloguer, Storm redueix significativament la barrera d'entrada per als ciberdelinqüents alhora que posa en risc potencial més de mil milions d'usuaris de navegadors.

Dins de la tempesta: un lladre d’informació silenciós i sofisticat

Storm està dissenyat per evadir la detecció i maximitzar l'extracció de dades. Evita les eines de seguretat dels endpoints, desxifra remotament les credencials del navegador i permet als atacants restaurar sessions segrestades sense activar alarmes.

A diferència del programari maliciós tradicional, que es basava en tècniques de desxifratge locals, Storm funciona amb una arquitectura "stealth first". Exfiltra silenciosament dades sensibles del navegador, incloses les credencials, les galetes de sessió i la informació de la cartera de criptomonedes, a servidors controlats per l'atacant, on el desxifratge es produeix lluny del sistema infectat. Aquest enfocament remot li permet evitar activar les defenses de seguretat modernes.

L’evolució de les tècniques de robatori de credencials

Els mètodes de robatori de credencials han experimentat una transformació significativa. Històricament, els atacants extreien i desxifraven dades directament als dispositius de les víctimes mitjançant biblioteques SQLite per accedir als magatzems de credencials del navegador. Tanmateix, a mesura que les solucions de seguretat milloraven, aquesta activitat es va tornar més fàcil de detectar.

La introducció del xifratge vinculat a aplicacions per part de Google el 2024, començant amb Chrome 127, va complicar encara més aquests atacs vinculant claus de xifratge al propi navegador. Fins i tot quan els atacants intentaven explotar els protocols de depuració del navegador o injectar codi maliciós, els sistemes de seguretat sovint eren capaços d'identificar comportaments sospitosos.

Storm representa el següent pas en aquesta evolució abandonant completament el desxifratge local i traslladant les operacions a una infraestructura controlada per l'atacant, minimitzant així els rastres detectables a la màquina de la víctima.

Desxifratge del costat del servidor i abast entre navegadors

Storm avança més enllà dels lladres d'informació anteriors gestionant completament el desxifratge en servidors remots. Admet navegadors basats tant en Chromium com en Gecko, cosa que el fa molt versàtil en diferents entorns.

Un cop desxifrades les dades robades, es lliuren a un panell d'operadors centralitzat utilitzat pels ciberdelinqüents. Aquest panell introdueix automatització en la fase d'explotació, permetent als atacants aprofitar de manera eficient les dades compromeses a gran escala.

Segrest de sessió automatitzat i risc empresarial

Una característica particularment perillosa de Storm és la seva capacitat per restaurar sessions autenticades. En proporcionar un Google Refresh Token juntament amb un proxy SOCKS5 geogràficament coincident, els atacants poden restablir silenciosament la sessió activa d'una víctima sense desencadenar reptes d'autenticació.

Aquesta capacitat té greus implicacions:

  • Els entorns empresarials poden quedar exposats a través d'un únic navegador compromès, donant accés a plataformes SaaS, sistemes interns i infraestructura al núvol.
  • Els usuaris individuals s'enfronten a usurpacions de comptes, frau financer i altres atacs dirigits sense necessitat d'eludir directament l'autenticació de dos factors.

La reutilització de sessions ja autenticades anul·la eficaçment les proteccions d'inici de sessió tradicionals.

Ciberdelinqüència com a servei de baix cost i alt impacte

Storm està disponible per a ciberdelinqüents per tan sols 1.000 dòlars al mes, cosa que el converteix en una eina accessible però potent. Aquesta assequibilitat accelera la propagació de capacitats d'atac avançades, permetent als actors d'amenaces menys sofisticats executar campanyes altament efectives.

La combinació de baix cost, sigil·losi i automatització marca un canvi significatiu cap a operacions de ciberdelinqüència escalables i basades en serveis.

Mesures defensives: reducció de l’exposició a la tempesta

Els experts en seguretat emfatitzen la importància d'enfortir les pràctiques de ciberseguretat diàries per mitigar els riscos que plantegen amenaces com Storm:

  • Eviteu descarregar programari de fonts no fiables o no oficials.
  • Estigueu atents a la suplantació d'identitat (phishing) i altres tàctiques d'enginyeria social.
  • Utilitzeu contrasenyes úniques per a cada compte i servei.
  • Habiliteu l'autenticació de dos factors sempre que sigui possible i adopteu contrasenyes quan sigui compatible.

Tot i que cap mesura per si sola garanteix una protecció completa, la seguretat per capes redueix significativament la probabilitat de compromís.

Tendència

Estafa de correu electrònic amb error de renovació...

Phishing, Correu brossa
Els correus electrònics inesperats que exigeixen una acció urgent sempre s'han de tractar amb precaució. Els ciberdelinqüents es basen en el pànic, la curiositat i la pressa per manipular els usuaris perquè prenguin males decisions. L'anomenada estafa de correu electrònic "Cloud Storage Renewal Failed" és un clar exemple de com de convincents poden semblar aquestes amenaces. Malgrat el seu to...

Més vist

Carregant...