Több licencre vonatkozó kedvezményes árajánlat
Veszély-adatbázis Malware Storm Stealer

Storm Stealer

Mezo -ra Malware, Lopók-ben
Fordítás ide:

Kiberbiztonsági kutatók megerősítették egy kifinomult új fenyegetést, amely a Google Chrome, a Microsoft Edge és a Mozilla Firefox felhasználóit célozza meg. A Storm néven ismert fejlett információlopó többfunkciós támadási platformként működik, egyetlen rosszindulatú szolgáltatásban ötvözve a jelszólopást, a munkamenet-sütik kompromittálását a kétfaktoros hitelesítés megkerülésére, valamint a bankkártya-adatok gyűjtését.

A bérelhető eszközkészletként kínált Storm jelentősen csökkenti a kiberbűnözők belépési korlátait, miközben több mint egymilliárd böngészőfelhasználót tesz ki potenciális veszélynek.

Inside Storm: Egy csendes és kifinomult információlopó

A Stormot úgy tervezték, hogy elkerülje az észlelést, miközben maximalizálja az adatkinyerést. Megkerüli a végpontbiztonsági eszközöket, távolról visszafejti a böngésző hitelesítő adatait, és lehetővé teszi a támadók számára, hogy riasztás nélkül visszaállítsák az eltérített munkameneteket.

A hagyományos, helyi visszafejtési technikákra támaszkodó rosszindulatú programokkal ellentétben a Storm egy lopakodó architektúrával működik. Csendben szivárogtatja ki az érzékeny böngészőadatokat, beleértve a hitelesítő adatokat, a munkamenet-sütiket és a kriptovaluta-tárca adatait, a támadó által ellenőrzött szerverekre, ahol a visszafejtés a fertőzött rendszeren kívül történik. Ez a távoli megközelítés lehetővé teszi, hogy elkerülje a modern biztonsági védelmi mechanizmusok aktiválódását.

A hitelesítő adatok ellopásának technikáinak fejlődése

A hitelesítő adatok ellopásának módszerei jelentős átalakuláson mentek keresztül. Korábban a támadók közvetlenül az áldozat eszközein gyűjtötték ki és dekódolták az adatokat SQLite könyvtárak segítségével, hogy hozzáférjenek a böngésző hitelesítő adattárolóihoz. A biztonsági megoldások fejlődésével azonban az ilyen tevékenységek könnyebben észlelhetők lettek.

A Google 2024-ben, a Chrome 127-es verziójával kezdődően bevezette az alkalmazáshoz kötött titkosítást (App-Bound Encryption), ami tovább bonyolította ezeket a támadásokat azáltal, hogy a titkosítási kulcsokat magához a böngészőhöz kötötte. Még akkor is, amikor a támadók megpróbálták kihasználni a böngésző hibakeresési protokolljait vagy rosszindulatú kódot juttatni a rendszerbe, a biztonsági rendszerek gyakran képesek voltak azonosítani a gyanús viselkedést.

A Storm a következő lépést képviseli ebben az evolúcióban, mivel teljesen felhagy a helyi dekódolással, és a műveleteket a támadó által ellenőrzött infrastruktúrára helyezi át, ezáltal minimalizálva az áldozat gépén észlelhető nyomokat.

Szerveroldali dekódolás és böngészőközi elérés

A Storm a korábbi információlopó programokat messze felülmúlva teljes mértékben kezeli a visszafejtést távoli szervereken. Támogatja mind a Chromium, mind a Gecko alapú böngészőket, így rendkívül sokoldalúan használható különböző környezetekben.

Miután a lopott adatokat visszafejtették, azokat egy központi kezelőpanelre továbbítják, amelyet a kiberbűnözők használnak. Ez a panel automatizálást vezet be a kihasználási fázisba, lehetővé téve a támadók számára, hogy hatékonyan, nagy léptékben használják ki a feltört adatokat.

Automatizált munkamenet-eltérítés és vállalati kockázat

A Storm egyik különösen veszélyes tulajdonsága a hitelesített munkamenetek visszaállításának képessége. Egy Google Refresh Token és egy földrajzilag egyeztetett SOCKS5 proxy biztosításával a támadók csendben újra létrehozhatják az áldozat aktív munkamenetét hitelesítési kihívások kiváltása nélkül.

Ennek a képességnek komoly következményei vannak:

  • A vállalati környezetek egyetlen feltört böngészőn keresztül is ki lehetnek téve a támadásoknak, hozzáférést biztosítva a SaaS platformokhoz, a belső rendszerekhez és a felhőalapú infrastruktúrához.
  • Az egyéni felhasználók fiókfeltörésekkel, pénzügyi csalásokkal és további célzott támadásokkal néznek szembe anélkül, hogy közvetlenül meg kellene kerülniük a kétfaktoros hitelesítést.

A már hitelesített munkamenetek újrafelhasználása hatékonyan érvényteleníti a hagyományos bejelentkezési védelmet.

Alacsony költségű, nagy hatású kiberbűnözés-szolgáltatásként

A Storm már havi 1000 dollárért elérhető a kiberbűnözők számára, így egy könnyen hozzáférhető, mégis hatékony eszköz. Ez a megfizethetőség felgyorsítja a fejlett támadási képességek terjedését, lehetővé téve a kevésbé kifinomult fenyegetésekért felelős szereplők számára, hogy rendkívül hatékony kampányokat hajtsanak végre.

Az alacsony költségek, a lopakodás és az automatizálás kombinációja jelentős elmozdulást jelent a skálázható, szolgáltatásalapú kiberbűnözési műveletek felé.

Védelmi intézkedések: A viharnak való kitettség csökkentése

A biztonsági szakértők hangsúlyozzák a mindennapi kiberbiztonsági gyakorlatok megerősítésének fontosságát a Stormhoz hasonló fenyegetések jelentette kockázatok mérséklése érdekében:

  • Kerülje a nem megbízható vagy nem hivatalos forrásokból származó szoftverek letöltését.
  • Maradjon résen az adathalászattal és más pszichológiai manipulációs taktikákkal szemben.
  • Használjon egyedi jelszavakat minden fiókhoz és szolgáltatáshoz.
  • Ahol csak lehetséges, engedélyezze a kétfaktoros hitelesítést, és ahol támogatott, használjon jelszót.

Bár egyetlen intézkedés sem garantál teljes védelmet, a rétegzett biztonság jelentősen csökkenti a behatolás valószínűségét.

Felkapott

Felhőtárhely-megújítási sikertelen e-mailes átverés

Adathalászat, Spam
A váratlan, azonnali beavatkozást igénylő e-maileket mindig óvatosan kell kezelni. A kiberbűnözők a pánikra, a kíváncsiságra és a sietségre támaszkodnak, hogy manipulálják a felhasználókat rossz döntések meghozatalára. Az úgynevezett „Felhőtárhely-megújítás sikertelen” e-mailes átverés egyértelmű példa arra, hogy ezek a fenyegetések mennyire meggyőzőek lehetnek. Professzionális hangvételük és...

Legnézettebb

Betöltés...