Preventivo sconto multi-licenza
Database delle minacce Malware Storm Stealer

Storm Stealer

Entro Mezo nel Malware, Ladri
Traduci in:

I ricercatori di sicurezza informatica hanno confermato una nuova e sofisticata minaccia che prende di mira gli utenti di Google Chrome, Microsoft Edge e Mozilla Firefox. Conosciuto come Storm, questo avanzato software di furto di informazioni opera come una piattaforma di attacco multifunzionale, combinando il furto di password, la compromissione dei cookie di sessione per eludere l'autenticazione a due fattori e la raccolta di dati delle carte di pagamento in un unico servizio dannoso.

Offerto come kit di strumenti a noleggio, Storm abbassa significativamente la barriera d'ingresso per i criminali informatici, mettendo al contempo a rischio oltre un miliardo di utenti di browser.

Inside Storm: un furto di informazioni silenzioso e sofisticato

Storm è progettato per eludere il rilevamento massimizzando al contempo l'estrazione dei dati. Bypassa gli strumenti di sicurezza degli endpoint, decifra da remoto le credenziali del browser e consente agli aggressori di ripristinare le sessioni compromesse senza destare sospetti.

A differenza dei malware tradizionali, che si basavano su tecniche di decrittazione locali, Storm opera con un'architettura incentrata sulla furtività. Esfiltra silenziosamente dati sensibili del browser, tra cui credenziali, cookie di sessione e informazioni sui portafogli di criptovalute, verso server controllati dall'attaccante, dove la decrittazione avviene lontano dal sistema infetto. Questo approccio remoto gli consente di evitare di attivare i moderni sistemi di difesa.

L’evoluzione delle tecniche di furto delle credenziali

I metodi di furto delle credenziali hanno subito una trasformazione significativa. Storicamente, gli aggressori estraevano e decrittografavano i dati direttamente sui dispositivi delle vittime utilizzando le librerie SQLite per accedere agli archivi delle credenziali del browser. Tuttavia, con il miglioramento delle soluzioni di sicurezza, tale attività è diventata più facile da rilevare.

L'introduzione della crittografia associata alle app da parte di Google nel 2024, a partire da Chrome 127, ha ulteriormente complicato questi attacchi, legando le chiavi di crittografia al browser stesso. Anche quando gli aggressori tentavano di sfruttare i protocolli di debug del browser o di iniettare codice dannoso, i sistemi di sicurezza erano spesso in grado di identificare comportamenti sospetti.

Storm rappresenta il passo successivo in questa evoluzione, abbandonando completamente la decrittazione locale e spostando le operazioni su un'infrastruttura controllata dall'attaccante, riducendo al minimo le tracce rilevabili sul computer della vittima.

Decrittazione lato server e compatibilità cross-browser

Storm si distingue dai precedenti programmi di furto di informazioni gestendo completamente la decrittazione sui server remoti. Supporta sia i browser basati su Chromium che quelli basati su Gecko, risultando estremamente versatile in diversi ambienti.

Una volta decifrati, i dati rubati vengono inviati a un pannello di controllo centralizzato utilizzato dai criminali informatici. Questo pannello introduce l'automazione nella fase di sfruttamento, consentendo agli aggressori di utilizzare in modo efficiente e su larga scala i dati compromessi.

Dirottamento automatizzato delle sessioni e rischio aziendale

Una caratteristica particolarmente pericolosa di Storm è la sua capacità di ripristinare sessioni autenticate. Fornendo un Google Refresh Token insieme a un proxy SOCKS5 geograficamente corrispondente, gli aggressori possono ristabilire silenziosamente la sessione attiva di una vittima senza attivare richieste di autenticazione.

Questa capacità ha serie implicazioni:

  • Gli ambienti aziendali possono essere esposti tramite un singolo browser compromesso, consentendo l'accesso a piattaforme SaaS, sistemi interni e infrastrutture cloud.
  • I singoli utenti rischiano di subire furti di identità, frodi finanziarie e altri attacchi mirati senza dover necessariamente bypassare l'autenticazione a due fattori.

Il riutilizzo di sessioni già autenticate annulla di fatto le tradizionali protezioni di accesso.

Servizio di contrasto alla criminalità informatica a basso costo e ad alto impatto

Storm è disponibile per i criminali informatici a partire da soli 1.000 dollari al mese, il che lo rende uno strumento accessibile ma al contempo potente. Questa economicità accelera la diffusione di capacità di attacco avanzate, consentendo ad attori malevoli meno sofisticati di condurre campagne di grande efficacia.

La combinazione di basso costo, furtività e automazione segna un cambiamento significativo verso operazioni di criminalità informatica scalabili e basate sui servizi.

Misure difensive: ridurre l’esposizione alla tempesta

Gli esperti di sicurezza sottolineano l'importanza di rafforzare le pratiche quotidiane di sicurezza informatica per mitigare i rischi posti da minacce come Storm:

  • Evitate di scaricare software da fonti non attendibili o non ufficiali.
  • Rimanete vigili contro il phishing e altre tattiche di ingegneria sociale.
  • Utilizza password univoche per ogni account e servizio.
  • Abilita l'autenticazione a due fattori ove possibile e adotta le password quando supportate.

Sebbene nessuna singola misura garantisca una protezione completa, la sicurezza a più livelli riduce significativamente la probabilità di violazione.

Tendenza

I più visti

Caricamento in corso...