Storm Stealer
חוקרי אבטחת סייבר אישרו איום חדש ומתוחכם המכוון למשתמשי גוגל כרום, מיקרוסופט אדג' ומוזילה פיירפוקס. גנב מידע מתקדם זה, המכונה סטורם, פועל כפלטפורמת התקפה רב-תכליתית, המשלבת גניבת סיסמאות, פריצת קובצי Cookie לצורך עקיפת אימות דו-שלבי ואיסוף נתוני כרטיסי תשלום בשירות זדוני יחיד.
Storm, המוצע כארגז כלים להשכרה, מוריד משמעותית את מחסום הכניסה עבור פושעי סייבר, תוך שהוא מציב יותר ממיליארד משתמשי דפדפן בסיכון פוטנציאלי.
תוכן העניינים
בתוך הסערה: גונב מידע שקט ומתוחכם
סטורם נועדה להתחמק מגילוי תוך מקסום חילוץ נתונים. היא עוקפת כלי אבטחה של נקודות קצה, מפענחת מרחוק אישורי דפדפן ומאפשרת לתוקפים לשחזר סשנים שנחטפו מבלי להפעיל אזעקות.
בניגוד לתוכנות זדוניות מסורתיות, שהסתמכו על טכניקות פענוח מקומיות, Storm פועלת בארכיטקטורה של "התגנבות". היא מעבירה בשקט נתוני דפדפן רגישים, כולל אישורים, קובצי Cookie של סשן ומידע על ארנקי קריפטוגרפיים, לשרתים הנשלטים על ידי תוקפים, שם הפענוח מתבצע הרחק מהמערכת הנגועה. גישה מרחוק זו מאפשרת לה להימנע מהפעלת הגנות אבטחה מודרניות.
האבולוציה של טכניקות גניבת אישורים
שיטות גניבת אישורים עברו טרנספורמציה משמעותית. מבחינה היסטורית, תוקפים חילצו ופענחו נתונים ישירות ממכשירי הקורבן באמצעות ספריות SQLite כדי לגשת למאגרי אישורים של הדפדפן. עם זאת, ככל שפתרונות האבטחה השתפרו, פעילות כזו הפכה קלה יותר לגילוי.
הצגת הצפנת App-Bound Encryption על ידי גוגל בשנת 2024, החל מ-Chrome 127, סיבכה עוד יותר את ההתקפות הללו על ידי קשירת מפתחות הצפנה לדפדפן עצמו. אפילו כאשר תוקפים ניסו לנצל פרוטוקולי ניפוי שגיאות בדפדפן או להחדיר קוד זדוני, מערכות אבטחה הצליחו לעתים קרובות לזהות התנהגות חשודה.
סטורם מייצגת את הצעד הבא באבולוציה זו על ידי נטישת פענוח מקומי לחלוטין והעברת פעולות לתשתית הנשלטת על ידי התוקף, ובכך ממזערת עקבות ניתנות לזיהוי במחשב הקורבן.
פענוח בצד השרת והגעה בין דפדפנים
Storm מתקדמת מעבר לגנבי מידע קודמים על ידי טיפול מלא בפענוח בשרתים מרוחקים. היא תומכת הן בדפדפנים מבוססי Chromium והן בדפדפנים מבוססי Gecko, מה שהופך אותה לגמישה מאוד בסביבות שונות.
לאחר שהנתונים הגנובים מפוענחים, הם מועברים לפאנל בקרה מרכזי בו משתמשים פושעי סייבר. פאנל זה מציג אוטומציה בשלב הניצול, ומאפשר לתוקפים למנף ביעילות נתונים שנפגעו ובקנה מידה גדול.
חטיפת סשנים אוטומטית וסיכון ארגוני
תכונה מסוכנת במיוחד של Storm היא יכולתה לשחזר סשנים מאומתים. על ידי אספקת אסימון רענון של גוגל לצד פרוקסי SOCKS5 תואם גיאוגרפית, תוקפים יכולים לשחזר בשקט את הסשן הפעיל של הקורבן מבלי להפעיל אתגרי אימות.
ליכולת זו יש השלכות חמורות:
- סביבות ארגוניות עלולות להיחשף באמצעות דפדפן יחיד שנפרץ, מה שמעניק גישה לפלטפורמות SaaS, מערכות פנימיות ותשתיות ענן.
- משתמשים בודדים מתמודדים עם השתלטויות על חשבונות, הונאות פיננסיות והתקפות ממוקדות נוספות מבלי שיהיה צורך לעקוף ישירות את האימות הדו-שלבי.
השימוש החוזר בפגישות שכבר אומתו מבטל למעשה הגנות התחברות מסורתיות.
פשעי סייבר כשירות בעלות נמוכה והשפעה גבוהה
סטורם זמינה לפושעי סייבר תמורת 1,000 דולר בלבד לחודש, מה שהופך אותה לכלי נגיש אך רב עוצמה. סבירות זו מאיצה את התפשטותן של יכולות תקיפה מתקדמות, ומאפשרת לגורמי איום פחות מתוחכמים לבצע קמפיינים יעילים ביותר.
השילוב של עלות נמוכה, התגנבות ואוטומציה מסמן שינוי משמעותי לעבר פעולות פשעי סייבר הניתנות להרחבה ומבוססות שירות.
אמצעי הגנה: צמצום החשיפה לסערה
מומחי אבטחה מדגישים את החשיבות של חיזוק נוהלי אבטחת הסייבר היומיומיים כדי להפחית את הסיכונים שמציבים איומים כמו סטורם:
- הימנעו מהורדת תוכנות ממקורות לא אמינים או לא רשמיים.
- הישאר ערני מפני פישינג וטקטיקות הנדסה חברתית אחרות.
- השתמש בסיסמאות ייחודיות לכל חשבון ושירות.
- הפעל אימות דו-שלבי במידת האפשר ואמץ סיסמות כאשר הן נתמכות.
בעוד שאף אמצעי אחד אינו מבטיח הגנה מלאה, אבטחה שכבתית מפחיתה משמעותית את הסבירות לפריצה.
