Kortingsaanbieding voor meerdere licenties
Bedreigingsdatabase Malware Storm Stealer

Storm Stealer

Tegen Mezo in Malware, Dieven
Vertalen naar:

Onderzoekers op het gebied van cyberbeveiliging hebben een geavanceerde nieuwe dreiging bevestigd die gericht is op gebruikers van Google Chrome, Microsoft Edge en Mozilla Firefox. Deze geavanceerde tool, genaamd Storm, functioneert als een multifunctioneel aanvalsplatform dat wachtwoorddiefstal, het compromitteren van sessiecookies om tweefactorauthenticatie te omzeilen en het verzamelen van betaalkaartgegevens combineert in één kwaadaardige dienst.

Storm, dat als een te huren toolkit wordt aangeboden, verlaagt de drempel voor cybercriminelen aanzienlijk, terwijl het tegelijkertijd meer dan een miljard browsergebruikers aan potentieel gevaar blootstelt.

Inside Storm: een stille en geraffineerde informatiedief.

Storm is ontworpen om detectie te ontwijken en tegelijkertijd maximale data te extraheren. Het omzeilt beveiligingssystemen op eindpunten, decodeert op afstand browsergegevens en stelt aanvallers in staat gekaapte sessies te herstellen zonder alarm te slaan.

In tegenstelling tot traditionele malware, die gebruikmaakt van lokale decryptietechnieken, werkt Storm met een architectuur die primair op stealth is gericht. Het smokkelt stilletjes gevoelige browsergegevens, waaronder inloggegevens, sessiecookies en informatie over cryptovaluta, naar servers die door de aanvaller worden beheerd. Daar vindt de decryptie plaats, ver weg van het geïnfecteerde systeem. Deze aanpak op afstand zorgt ervoor dat moderne beveiligingsmaatregelen niet worden geactiveerd.

De evolutie van technieken voor het stelen van inloggegevens

De methoden voor het stelen van inloggegevens hebben een aanzienlijke transformatie ondergaan. Historisch gezien extraheerden en decodeerden aanvallers gegevens rechtstreeks op de apparaten van slachtoffers met behulp van SQLite-bibliotheken om toegang te krijgen tot de inloggegevens van browsers. Naarmate de beveiligingsoplossingen verbeterden, werd dergelijke activiteit echter gemakkelijker te detecteren.

De introductie van app-gebonden encryptie door Google in 2024, beginnend met Chrome 127, maakte deze aanvallen nog complexer doordat encryptiesleutels aan de browser zelf werden gekoppeld. Zelfs wanneer aanvallers probeerden browserdebugprotocollen te misbruiken of kwaadaardige code te injecteren, waren beveiligingssystemen vaak in staat om verdacht gedrag te herkennen.

Storm vertegenwoordigt de volgende stap in deze evolutie door lokale decryptie volledig te verlaten en de processen te verplaatsen naar een door de aanvaller beheerde infrastructuur, waardoor de detecteerbare sporen op de machine van het slachtoffer tot een minimum worden beperkt.

Server-side decryptie en cross-browser bereik

Storm gaat verder dan eerdere infostealers door de decryptie volledig af te handelen op externe servers. Het ondersteunt zowel Chromium- als Gecko-gebaseerde browsers, waardoor het zeer veelzijdig is in verschillende omgevingen.

Zodra de gestolen gegevens zijn gedecodeerd, worden ze doorgestuurd naar een centraal bedieningspaneel dat door cybercriminelen wordt gebruikt. Dit paneel automatiseert de exploitatiefase, waardoor aanvallers de gecompromitteerde gegevens efficiënt en op grote schaal kunnen misbruiken.

Geautomatiseerde sessiekaping en bedrijfsrisico’s

Een bijzonder gevaarlijke eigenschap van Storm is de mogelijkheid om geauthenticeerde sessies te herstellen. Door een Google Refresh Token te gebruiken in combinatie met een geografisch overeenkomende SOCKS5-proxy, kunnen aanvallers stilletjes de actieve sessie van een slachtoffer herstellen zonder dat er authenticatieverzoeken worden verzonden.

Deze mogelijkheid heeft ernstige gevolgen:

  • Bedrijfsomgevingen kunnen via één enkele gecompromitteerde browser toegankelijk worden gemaakt, waardoor toegang ontstaat tot SaaS-platformen, interne systemen en cloudinfrastructuur.
  • Individuele gebruikers worden geconfronteerd met accountovernames, financiële fraude en andere gerichte aanvallen, zelfs zonder dat ze de tweefactorauthenticatie direct hoeven te omzeilen.

Het hergebruik van reeds geverifieerde sessies maakt traditionele inlogbeveiligingsmaatregelen effectief ongedaan.

Voordelige, maar zeer effectieve cybercriminaliteit als dienst

Storm is voor cybercriminelen al verkrijgbaar vanaf $1.000 per maand, waardoor het een toegankelijk maar krachtig instrument is. Deze betaalbaarheid versnelt de verspreiding van geavanceerde aanvalsmogelijkheden, waardoor minder ervaren cybercriminelen zeer effectieve campagnes kunnen uitvoeren.

De combinatie van lage kosten, heimelijkheid en automatisering markeert een belangrijke verschuiving naar schaalbare, servicegerichte cybercriminaliteitsoperaties.

Defensieve maatregelen: Blootstelling aan de storm verminderen

Beveiligingsexperts benadrukken het belang van het versterken van de dagelijkse cybersecuritypraktijken om de risico's te beperken die uitgaan van bedreigingen zoals Storm:

  • Vermijd het downloaden van software van onbetrouwbare of onofficiële bronnen.
  • Blijf alert op phishing en andere vormen van social engineering.
  • Gebruik unieke wachtwoorden voor elk account en elke dienst.
  • Schakel waar mogelijk tweefactorauthenticatie in en gebruik wachtwoorden wanneer dit wordt ondersteund.

Hoewel geen enkele maatregel volledige bescherming garandeert, verkleint gelaagde beveiliging de kans op een inbreuk aanzienlijk.

Trending

Meest bekeken

Bezig met laden...