Storm Stealer

Küberturvalisuse uurijad on kinnitanud keeruka uue ohu olemasolu, mis on suunatud Google Chrome'i, Microsoft Edge'i ja Mozilla Firefoxi kasutajatele. Storm nime all tuntud täiustatud infovaras toimib multifunktsionaalse rünnakuplatvormina, mis ühendab paroolivarguse, seansiküpsiste rikkumise kahefaktorilise autentimise möödahiilimiseks ja maksekaardiandmete kogumise üheks pahatahtlikuks teenuseks.

Renditava tööriistakomplektina pakutav Storm alandab märkimisväärselt küberkurjategijate sisenemisbarjääri, pannes samal ajal potentsiaalsesse ohtu enam kui miljard brauserikasutajat.

Inside Storm: vaikne ja keerukas infovaras

Storm on loodud tuvastamist vältima, maksimeerides samal ajal andmete ekstraheerimist. See möödub lõpp-punkti turbetööriistadest, dekrüpteerib brauseri mandaadi kaugjuhtimise teel ja võimaldab ründajatel taastada kaaperdatud seansse ilma häireid andmata.

Erinevalt traditsioonilisest pahavarast, mis tugines lokaalsetele dekrüpteerimistehnikatele, töötab Storm varjatud arhitektuuriga. See filtreerib vaikselt tundlikke brauseriandmeid, sealhulgas volitusi, seansiküpsiseid ja krüptovaluuta rahakoti teavet, ründaja kontrolli all olevatesse serveritesse, kus dekrüpteerimine toimub nakatunud süsteemist eemal. See kaugmeetod võimaldab vältida tänapäevaste turvakaitsemeetmete käivitamist.

Volituste varguse tehnikate areng

Volitusandmete varguse meetodid on läbi teinud olulise muutuse. Ajalooliselt hankisid ja dekrüpteerisid ründajad andmeid otse ohvri seadmetest, kasutades brauseri volitusandmete salvestustele juurdepääsuks SQLite'i teeke. Turvalahenduste täiustumisega muutus selline tegevus aga lihtsamini tuvastatavaks.

Google'i poolt 2024. aastal Chrome'i versiooniga 127 kasutusele võetud rakendustepõhine krüptimine (App-Bound Encryption) muutis need rünnakud veelgi keerulisemaks, sidudes krüpteerimisvõtmed brauseri endaga. Isegi kui ründajad üritasid ära kasutada brauseri silumisprotokolle või sisestada pahatahtlikku koodi, suutsid turvasüsteemid sageli kahtlast käitumist tuvastada.

Storm esindab selles evolutsioonis järgmist sammu, loobudes täielikult kohalikust dekrüpteerimisest ja suunates toimingud ründaja kontrollitavasse infrastruktuuri, minimeerides seeläbi tuvastatavaid jälgi ohvri masinas.

Serveripoolne dekrüpteerimine ja brauseriteülene ulatus

Storm läheb varasematest infovarastest kaugemale, käsitledes täielikult dekrüpteerimist kaugserverites. See toetab nii Chromiumi- kui ka Gecko-põhiseid brausereid, muutes selle erinevates keskkondades väga mitmekülgseks.

Kui varastatud andmed on dekrüpteeritud, edastatakse need küberkurjategijate kasutatavale tsentraliseeritud operaatoripaneelile. See paneel toob ärakasutamise etappi automatiseerimise, võimaldades ründajatel tõhusalt ja ulatuslikult ära kasutada ohustatud andmeid.

Automatiseeritud seansi kaaperdamine ja ettevõtte risk

Stormi eriti ohtlik omadus on võime taastada autentitud seansse. Google Refresh Tokeni ja geograafiliselt sobitatud SOCKS5 puhverserveri abil saavad ründajad ohvri aktiivse seansi vaikselt taastada ilma autentimisprobleeme käivitamata.

Sellel võimekusel on tõsised tagajärjed:

• Ettevõtte keskkonnad võivad olla ohustatud ühe ohustatud brauseri kaudu, andes juurdepääsu SaaS-platvormidele, sisemistele süsteemidele ja pilveinfrastruktuurile.
• Üksikkasutajad seisavad silmitsi kontode ülevõtmise, finantspettuste ja edasiste sihitud rünnakutega ilma, et nad peaksid kahefaktorilisest autentimisest otse mööda minema.

Juba autentitud seansside taaskasutamine tühistab traditsioonilised sisselogimiskaitsed.

Madala hinnaga, suure mõjuga küberkuritegevuse vastane teenus

Storm on küberkurjategijatele saadaval alates 1000 dollarist kuus, mis teeb sellest ligipääsetava, kuid võimsa tööriista. See taskukohasus kiirendab täiustatud rünnakuvõimaluste levikut, võimaldades vähem keerukatel ohutegijatel läbi viia väga tõhusaid kampaaniaid.

Madalate kulude, varjatuse ja automatiseerimise kombinatsioon tähistab olulist nihet skaleeritavate, teenusepõhiste küberkuritegevuse operatsioonide suunas.

Kaitsemeetmed: tormiga kokkupuute vähendamine

Turvaeksperdid rõhutavad igapäevaste küberturvalisuse tavade tugevdamise olulisust, et leevendada selliste ohtude nagu Storm põhjustatud riske:

• Vältige tarkvara allalaadimist ebausaldusväärsetest või mitteametlikest allikatest.
• Olge valvas andmepüügi ja muude sotsiaalse manipuleerimise taktikate suhtes.
• Kasutage iga konto ja teenuse jaoks unikaalseid paroole.
• Luba kaheastmeline autentimine kõikjal, kus võimalik, ja võta kasutusele paroolid, kui need on toetatud.

Kuigi ükski meede ei taga täielikku kaitset, vähendab kihiline turvalisus oluliselt ohtu sattumise tõenäosust.