Εκπτωτική προσφορά πολλαπλών αδειών
Βάση δεδομένων απειλών Κακόβουλο λογισμικό Storm Stealer

Storm Stealer

Μέχρι το Mezo το Κακόβουλο λογισμικό, Κλέφτες
Μετάφραση σε:

Ερευνητές κυβερνοασφάλειας επιβεβαίωσαν μια νέα εξελιγμένη απειλή που στοχεύει χρήστες του Google Chrome, του Microsoft Edge και του Mozilla Firefox. Γνωστό ως Storm, αυτό το προηγμένο infostealer λειτουργεί ως μια πολυλειτουργική πλατφόρμα επίθεσης, συνδυάζοντας την κλοπή κωδικών πρόσβασης, την παραβίαση cookie περιόδου σύνδεσης για παράκαμψη ελέγχου ταυτότητας δύο παραγόντων και τη συλλογή δεδομένων καρτών πληρωμής σε μία μόνο κακόβουλη υπηρεσία.

Προσφέρεται ως ένα ενοικιαζόμενο κιτ εργαλείων, το Storm μειώνει σημαντικά το εμπόδιο εισόδου για τους κυβερνοεγκληματίες, ενώ παράλληλα θέτει σε πιθανό κίνδυνο περισσότερους από ένα δισεκατομμύριο χρήστες προγραμμάτων περιήγησης.

Inside Storm: Ένας σιωπηλός και εξελιγμένος κλέφτης πληροφοριών

Το Storm έχει σχεδιαστεί για να αποφεύγει τον εντοπισμό, μεγιστοποιώντας παράλληλα την εξαγωγή δεδομένων. Παρακάμπτει τα εργαλεία ασφαλείας τελικών σημείων, αποκρυπτογραφεί εξ αποστάσεως τα διαπιστευτήρια του προγράμματος περιήγησης και επιτρέπει στους εισβολείς να επαναφέρουν τις παραβιασμένες συνεδρίες χωρίς να ενεργοποιούν συναγερμούς.

Σε αντίθεση με το παραδοσιακό κακόβουλο λογισμικό, το οποίο βασιζόταν σε τοπικές τεχνικές αποκρυπτογράφησης, το Storm λειτουργεί με μια αρχιτεκτονική stealth-first. Απομακρύνει αθόρυβα ευαίσθητα δεδομένα του προγράμματος περιήγησης, συμπεριλαμβανομένων διαπιστευτηρίων, cookies περιόδου σύνδεσης και πληροφοριών πορτοφολιού κρυπτονομισμάτων, σε διακομιστές που ελέγχονται από εισβολείς, όπου η αποκρυπτογράφηση πραγματοποιείται μακριά από το μολυσμένο σύστημα. Αυτή η απομακρυσμένη προσέγγιση του επιτρέπει να αποφεύγει την ενεργοποίηση σύγχρονων άμυνων ασφαλείας.

Η Εξέλιξη των Τεχνικών Κλοπής Διαπιστευτηρίων

Οι μέθοδοι κλοπής διαπιστευτηρίων έχουν υποστεί σημαντική μεταμόρφωση. Ιστορικά, οι εισβολείς εξήγαγαν και αποκρυπτογράφησαν δεδομένα απευθείας στις συσκευές των θυμάτων χρησιμοποιώντας βιβλιοθήκες SQLite για να έχουν πρόσβαση σε αποθήκες διαπιστευτηρίων προγράμματος περιήγησης. Ωστόσο, καθώς οι λύσεις ασφαλείας βελτιώθηκαν, η ανίχνευση αυτής της δραστηριότητας έγινε ευκολότερη.

Η εισαγωγή της κρυπτογράφησης App-Bound από την Google το 2024, ξεκινώντας με το Chrome 127, περιέπλεξε περαιτέρω αυτές τις επιθέσεις, συνδέοντας κλειδιά κρυπτογράφησης στο ίδιο το πρόγραμμα περιήγησης. Ακόμα και όταν οι εισβολείς προσπάθησαν να εκμεταλλευτούν τα πρωτόκολλα εντοπισμού σφαλμάτων του προγράμματος περιήγησης ή να εισάγουν κακόβουλο κώδικα, τα συστήματα ασφαλείας ήταν συχνά σε θέση να εντοπίσουν ύποπτη συμπεριφορά.

Το Storm αντιπροσωπεύει το επόμενο βήμα σε αυτήν την εξέλιξη, εγκαταλείποντας πλήρως την τοπική αποκρυπτογράφηση και μετατοπίζοντας τις λειτουργίες σε υποδομή που ελέγχεται από τον εισβολέα, ελαχιστοποιώντας έτσι τα ανιχνεύσιμα ίχνη στον υπολογιστή του θύματος.

Αποκρυπτογράφηση από την πλευρά του διακομιστή και εμβέλεια μεταξύ προγραμμάτων περιήγησης

Το Storm προχωρά πέρα από τα προηγούμενα προγράμματα κλοπής πληροφοριών, διαχειριζόμενο πλήρως την αποκρυπτογράφηση σε απομακρυσμένους διακομιστές. Υποστηρίζει προγράμματα περιήγησης που βασίζονται τόσο στο Chromium όσο και στο Gecko, καθιστώντας το εξαιρετικά ευέλικτο σε διαφορετικά περιβάλλοντα.

Μόλις αποκρυπτογραφηθούν τα κλεμμένα δεδομένα, παραδίδονται σε έναν κεντρικό πίνακα χειρισμού που χρησιμοποιείται από τους κυβερνοεγκληματίες. Αυτός ο πίνακας εισάγει αυτοματοποίηση στη φάση εκμετάλλευσης, επιτρέποντας στους εισβολείς να αξιοποιούν αποτελεσματικά τα παραβιασμένα δεδομένα σε μεγάλη κλίμακα.

Αυτοματοποιημένη παραβίαση περιόδου σύνδεσης και εταιρικός κίνδυνος

Ένα ιδιαίτερα επικίνδυνο χαρακτηριστικό του Storm είναι η ικανότητά του να επαναφέρει τις πιστοποιημένες συνεδρίες. Παρέχοντας ένα Google Refresh Token μαζί με έναν γεωγραφικά αντίστοιχο διακομιστή μεσολάβησης SOCKS5, οι εισβολείς μπορούν να επαναφέρουν σιωπηλά την ενεργή συνεδρία ενός θύματος χωρίς να ενεργοποιήσουν προκλήσεις ελέγχου ταυτότητας.

Αυτή η δυνατότητα έχει σοβαρές επιπτώσεις:

  • Τα εταιρικά περιβάλλοντα ενδέχεται να εκτεθούν μέσω ενός μόνο παραβιασμένου προγράμματος περιήγησης, παρέχοντας πρόσβαση σε πλατφόρμες SaaS, εσωτερικά συστήματα και υποδομή cloud.
  • Οι μεμονωμένοι χρήστες αντιμετωπίζουν κατασχέσεις λογαριασμών, οικονομικές απάτες και περαιτέρω στοχευμένες επιθέσεις χωρίς να χρειάζεται να παρακάμψουν άμεσα τον έλεγχο ταυτότητας δύο παραγόντων.

Η επαναχρησιμοποίηση ήδη πιστοποιημένων συνεδριών ουσιαστικά ακυρώνει τις παραδοσιακές προστασίες σύνδεσης.

Χαμηλού Κόστους, Υψηλού Αντίκτυπου, Κυβερνοέγκλημα ως Υπηρεσία

Το Storm είναι διαθέσιμο στους κυβερνοεγκληματίες για μόλις 1.000 δολάρια το μήνα, καθιστώντας το ένα προσιτό αλλά και ισχυρό εργαλείο. Αυτή η προσιτή τιμή επιταχύνει την εξάπλωση των προηγμένων δυνατοτήτων επίθεσης, επιτρέποντας σε λιγότερο εξελιγμένους απειλητικούς παράγοντες να εκτελούν εξαιρετικά αποτελεσματικές καμπάνιες.

Ο συνδυασμός χαμηλού κόστους, μυστικότητας και αυτοματισμού σηματοδοτεί μια σημαντική στροφή προς κλιμακούμενες, βασισμένες σε υπηρεσίες επιχειρήσεις κυβερνοεγκλήματος.

Αμυντικά μέτρα: Μείωση της έκθεσης σε καταιγίδες

Οι ειδικοί σε θέματα ασφάλειας τονίζουν τη σημασία της ενίσχυσης των καθημερινών πρακτικών κυβερνοασφάλειας για τον μετριασμό των κινδύνων που θέτουν απειλές όπως η Storm:

  • Αποφύγετε τη λήψη λογισμικού από μη αξιόπιστες ή ανεπίσημες πηγές.
  • Παραμείνετε σε εγρήγορση ενάντια στο ηλεκτρονικό ψάρεμα (phishing) και άλλες τακτικές κοινωνικής μηχανικής.
  • Χρησιμοποιήστε μοναδικούς κωδικούς πρόσβασης για κάθε λογαριασμό και υπηρεσία.
  • Ενεργοποιήστε τον έλεγχο ταυτότητας δύο παραγόντων όπου είναι δυνατόν και χρησιμοποιήστε κλειδιά πρόσβασης όταν υποστηρίζονται.

Ενώ κανένα μεμονωμένο μέτρο δεν εγγυάται πλήρη προστασία, η πολυεπίπεδη ασφάλεια μειώνει σημαντικά την πιθανότητα παραβίασης.

Τάσεις

Απάτη μέσω email με αποτυχημένη ανανέωση χώρου...

Phishing, Ανεπιθύμητη αλληλογραφία
Τα μη αναμενόμενα email που απαιτούν επείγουσα δράση θα πρέπει πάντα να αντιμετωπίζονται με προσοχή. Οι κυβερνοεγκληματίες βασίζονται στον πανικό, την περιέργεια και τη βιασύνη για να χειραγωγήσουν τους χρήστες ώστε να λάβουν κακές αποφάσεις. Η λεγόμενη απάτη email «Cloud Storage Renewal Failed» (Αποτυχία Ανανέωσης Αποθήκευσης στο Cloud) είναι ένα σαφές παράδειγμα του πόσο πειστικές μπορούν να...

Αεροπορική ρίψη σε δίκτυο ανοιχτού πάγου (IOP)

Απατεώνες Ιστότοποι
Ο σύγχρονος ιστός προσφέρει άνεση και ευκαιρίες, αλλά παρέχει επίσης πρόσφορο έδαφος για τους κυβερνοεγκληματίες. Η προσοχή κατά την περιήγηση δεν είναι πλέον προαιρετική, είναι απαραίτητη. Οι...

Περισσότερες εμφανίσεις

Φόρτωση...