Storm Stealer

साइबर सुरक्षा शोधकर्ताओं ने Google Chrome, Microsoft Edge और Mozilla Firefox के उपयोगकर्ताओं को निशाना बनाने वाले एक परिष्कृत नए खतरे की पुष्टि की है। Storm के नाम से जाना जाने वाला यह उन्नत सूचना-चोर एक बहु-कार्यात्मक हमला मंच के रूप में कार्य करता है, जो पासवर्ड चोरी, दो-कारक प्रमाणीकरण को बायपास करने के लिए सत्र कुकी समझौता और भुगतान कार्ड डेटा संग्रहण को एक ही दुर्भावनापूर्ण सेवा में संयोजित करता है।

एक किराये पर उपलब्ध टूलकिट के रूप में पेश किया गया, स्टॉर्म साइबर अपराधियों के लिए प्रवेश की बाधा को काफी कम कर देता है, जबकि एक अरब से अधिक ब्राउज़र उपयोगकर्ताओं को संभावित जोखिम में डाल देता है।

स्टॉर्म के अंदर: एक शांत और शातिर सूचना चोर

स्टॉर्म को डेटा निकालने की क्षमता को अधिकतम करते हुए, पकड़े जाने से बचने के लिए डिज़ाइन किया गया है। यह एंडपॉइंट सुरक्षा उपकरणों को दरकिनार कर देता है, ब्राउज़र क्रेडेंशियल्स को दूर से डिक्रिप्ट करता है, और हमलावरों को बिना किसी चेतावनी के हाईजैक किए गए सेशन को बहाल करने में सक्षम बनाता है।

परंपरागत मैलवेयर के विपरीत, जो स्थानीय डिक्रिप्शन तकनीकों पर निर्भर करता है, स्टॉर्म एक गुप्त प्रणाली पर काम करता है। यह ब्राउज़र के संवेदनशील डेटा, जिसमें क्रेडेंशियल, सेशन कुकीज़ और क्रिप्टोकरेंसी वॉलेट की जानकारी शामिल है, को हमलावर द्वारा नियंत्रित सर्वरों तक चुपचाप पहुंचाता है, जहां संक्रमित सिस्टम से दूर डिक्रिप्शन की प्रक्रिया होती है। यह दूरस्थ दृष्टिकोण इसे आधुनिक सुरक्षा प्रणालियों को सक्रिय होने से बचाता है।

प्रमाण पत्र चोरी की तकनीकों का विकास

क्रेडेंशियल चोरी के तरीकों में काफी बदलाव आया है। पहले, हमलावर ब्राउज़र क्रेडेंशियल स्टोर तक पहुँचने के लिए SQLite लाइब्रेरी का उपयोग करके पीड़ित उपकरणों पर सीधे डेटा निकालते और डिक्रिप्ट करते थे। हालाँकि, सुरक्षा समाधानों में सुधार के साथ, ऐसी गतिविधियों का पता लगाना आसान हो गया है।

2024 में Chrome 127 से शुरू करके Google द्वारा ऐप-बाउंड एन्क्रिप्शन की शुरुआत ने एन्क्रिप्शन कुंजी को ब्राउज़र से ही जोड़कर इन हमलों को और भी जटिल बना दिया। यहां तक कि जब हमलावरों ने ब्राउज़र डिबगिंग प्रोटोकॉल का फायदा उठाने या दुर्भावनापूर्ण कोड डालने की कोशिश की, तब भी सुरक्षा प्रणालियां अक्सर संदिग्ध गतिविधि की पहचान करने में सक्षम थीं।

स्टॉर्म इस विकास में अगला कदम है, जो स्थानीय डिक्रिप्शन को पूरी तरह से त्याग देता है और संचालन को हमलावर-नियंत्रित बुनियादी ढांचे में स्थानांतरित कर देता है, जिससे पीड़ित की मशीन पर पता लगाने योग्य निशानों को कम से कम किया जा सके।

सर्वर-साइड डिक्रिप्शन और क्रॉस-ब्राउज़र पहुंच

स्टॉर्म, रिमोट सर्वरों पर डिक्रिप्शन को पूरी तरह से संभालने की क्षमता के साथ, पहले के सूचना चुराने वाले टूल से कहीं आगे निकल जाता है। यह क्रोमियम-आधारित और गेको-आधारित दोनों प्रकार के ब्राउज़रों को सपोर्ट करता है, जिससे यह विभिन्न वातावरणों में अत्यधिक बहुमुखी बन जाता है।

चोरी किए गए डेटा को डिक्रिप्ट करने के बाद, इसे साइबर अपराधियों द्वारा उपयोग किए जाने वाले एक केंद्रीकृत ऑपरेटर पैनल को भेज दिया जाता है। यह पैनल शोषण चरण में स्वचालन लाता है, जिससे हमलावर बड़े पैमाने पर समझौता किए गए डेटा का कुशलतापूर्वक लाभ उठा सकते हैं।

स्वचालित सेशन हाइजैकिंग और एंटरप्राइज जोखिम

स्टॉर्म की एक विशेष रूप से खतरनाक विशेषता इसकी प्रमाणित सत्रों को पुनर्स्थापित करने की क्षमता है। भौगोलिक रूप से मेल खाने वाले SOCKS5 प्रॉक्सी के साथ Google रिफ्रेश टोकन प्रदान करके, हमलावर प्रमाणीकरण चुनौतियों को ट्रिगर किए बिना चुपचाप पीड़ित के सक्रिय सत्र को पुनः स्थापित कर सकते हैं।

इस क्षमता के गंभीर परिणाम हो सकते हैं:

• एक ही हैक किए गए ब्राउज़र के माध्यम से एंटरप्राइज़ वातावरण असुरक्षित हो सकता है, जिससे SaaS प्लेटफ़ॉर्म, आंतरिक सिस्टम और क्लाउड इन्फ्रास्ट्रक्चर तक पहुंच प्राप्त हो सकती है।
• व्यक्तिगत उपयोगकर्ताओं को सीधे तौर पर दो-कारक प्रमाणीकरण को दरकिनार किए बिना ही खाता हैक होने, वित्तीय धोखाधड़ी और अन्य लक्षित हमलों का सामना करना पड़ता है।

पहले से प्रमाणित सत्रों का पुन: उपयोग पारंपरिक लॉगिन सुरक्षा को प्रभावी रूप से निष्प्रभावी कर देता है।

कम लागत, उच्च प्रभाव वाली साइबर अपराध-आधारित सेवा

स्टॉर्म साइबर अपराधियों के लिए मात्र 1,000 डॉलर प्रति माह की कीमत पर उपलब्ध है, जिससे यह एक सुलभ लेकिन शक्तिशाली उपकरण बन जाता है। यह किफायती कीमत उन्नत आक्रमण क्षमताओं के प्रसार को गति देती है, जिससे कम परिष्कृत हमलावर भी अत्यधिक प्रभावी अभियान चला सकते हैं।

कम लागत, गोपनीयता और स्वचालन का संयोजन स्केलेबल, सेवा-आधारित साइबर अपराध संचालन की दिशा में एक महत्वपूर्ण बदलाव का संकेत देता है।

बचाव के उपाय: तूफान के प्रभाव को कम करना

सुरक्षा विशेषज्ञ स्टॉर्म जैसे खतरों से उत्पन्न जोखिमों को कम करने के लिए रोजमर्रा की साइबर सुरक्षा प्रथाओं को मजबूत करने के महत्व पर जोर देते हैं:

• अविश्वसनीय या अनौपचारिक स्रोतों से सॉफ्टवेयर डाउनलोड करने से बचें।
• फिशिंग और अन्य सोशल इंजीनियरिंग युक्तियों के प्रति सतर्क रहें।
• प्रत्येक खाते और सेवा के लिए अद्वितीय पासवर्ड का उपयोग करें।
• जहां भी संभव हो, दो-कारक प्रमाणीकरण को सक्षम करें और समर्थित होने पर पासकी का उपयोग करें।

हालांकि कोई भी एक उपाय पूर्ण सुरक्षा की गारंटी नहीं देता है, लेकिन स्तरीय सुरक्षा से सुरक्षा में सेंध लगने की संभावना काफी हद तक कम हो जाती है।