Storm Stealer
Cybersikkerhedsforskere har bekræftet en sofistikeret ny trussel, der er rettet mod brugere af Google Chrome, Microsoft Edge og Mozilla Firefox. Denne avancerede informationstyveri, kendt som Storm, fungerer som en multifunktionel angrebsplatform, der kombinerer adgangskodetyveri, kompromittering af sessionscookies for at omgå tofaktorgodkendelse og indsamling af betalingskortdata i én ondsindet tjeneste.
Storm, der tilbydes som et værktøjssæt til leje, sænker adgangsbarrieren for cyberkriminelle betydeligt, samtidig med at det udsætter mere end en milliard browserbrugere for potentiel risiko.
Indholdsfortegnelse
Inside Storm: En lydløs og sofistikeret infostyver
Storm er designet til at undgå detektion, samtidig med at dataudtrækning maksimeres. Det omgår sikkerhedsværktøjer til slutpunkter, dekrypterer browserlegitimationsoplysninger eksternt og gør det muligt for angribere at gendanne kaprede sessioner uden at udløse alarm.
I modsætning til traditionel malware, som var afhængig af lokale dekrypteringsteknikker, fungerer Storm med en stealth-first-arkitektur. Den overfører i al hemmelighed følsomme browserdata, herunder legitimationsoplysninger, sessionscookies og oplysninger om kryptovaluta-wallets, til angriberstyrede servere, hvor dekrypteringen sker væk fra det inficerede system. Denne fjerntilgang gør det muligt at undgå at udløse moderne sikkerhedsforsvar.
Udviklingen af teknikker til tyveri af legitimationsoplysninger
Metoder til tyveri af legitimationsoplysninger har gennemgået en betydelig transformation. Historisk set udtrak og dekrypterede angribere data direkte på ofrenes enheder ved hjælp af SQLite-biblioteker for at få adgang til browserens legitimationsoplysninger. Men efterhånden som sikkerhedsløsningerne blev forbedret, blev sådan aktivitet lettere at opdage.
Googles introduktion af App-Bound Encryption i 2024, startende med Chrome 127, komplicerede disse angreb yderligere ved at binde krypteringsnøgler til selve browseren. Selv når angribere forsøgte at udnytte browserfejlfindingsprotokoller eller injicere ondsindet kode, var sikkerhedssystemer ofte i stand til at identificere mistænkelig adfærd.
Storm repræsenterer det næste skridt i denne udvikling ved helt at opgive lokal dekryptering og flytte operationer til angriberkontrolleret infrastruktur, hvorved detekterbare spor på offerets maskine minimeres.
Server-side dekryptering og rækkevidde på tværs af browsere
Storm avancerer ud over tidligere infostealere ved fuldt ud at håndtere dekryptering på eksterne servere. Den understøtter både Chromium-baserede og Gecko-baserede browsere, hvilket gør den yderst alsidig på tværs af forskellige miljøer.
Når de stjålne data er dekrypteret, leveres de til et centraliseret operatørpanel, der bruges af cyberkriminelle. Dette panel introducerer automatisering i udnyttelsesfasen, hvilket gør det muligt for angribere effektivt at udnytte kompromitterede data i stor skala.
Automatiseret sessionskapring og virksomhedsrisiko
En særlig farlig funktion ved Storm er dens evne til at gendanne godkendte sessioner. Ved at levere en Google Refresh Token sammen med en geografisk matchet SOCKS5-proxy kan angribere lydløst genetablere et offers aktive session uden at udløse godkendelsesudfordringer.
Denne evne har alvorlige konsekvenser:
- Virksomhedsmiljøer kan blive eksponeret via en enkelt kompromitteret browser, hvilket giver adgang til SaaS-platforme, interne systemer og cloudinfrastruktur.
- Individuelle brugere står over for kontoovertagelser, økonomisk svindel og yderligere målrettede angreb uden at skulle omgå tofaktor-godkendelse direkte.
Genbrug af allerede godkendte sessioner ophæver effektivt traditionelle login-beskyttelser.
Lavpris, højtydende cyberkriminalitet som en service
Storm er tilgængelig for cyberkriminelle for så lidt som $1.000 om måneden, hvilket gør det til et tilgængeligt, men kraftfuldt værktøj. Denne overkommelige pris fremskynder spredningen af avancerede angrebsfunktioner, hvilket gør det muligt for mindre sofistikerede trusselsaktører at udføre yderst effektive kampagner.
Kombinationen af lave omkostninger, stealth og automatisering markerer et betydeligt skift mod skalerbare, servicebaserede cyberkriminalitetsoperationer.
Forsvarsforanstaltninger: Reduktion af eksponering for storm
Sikkerhedseksperter understreger vigtigheden af at styrke de daglige cybersikkerhedspraksisser for at afbøde de risici, som trusler som Storm udgør:
- Undgå at downloade software fra upålidelige eller uofficielle kilder.
- Vær opmærksom på phishing og andre social engineering-taktikker.
- Brug unikke adgangskoder til hver konto og tjeneste.
- Aktivér tofaktorgodkendelse, hvor det er muligt, og anvend adgangskoder, når det understøttes.
Selvom ingen enkeltstående foranstaltning garanterer fuldstændig beskyttelse, reducerer lagdelt sikkerhed sandsynligheden for kompromittering betydeligt.
