Oferta rabatowa na wiele licencji
Baza danych zagrożeń Złośliwe oprogramowanie Storm Stealer

Storm Stealer

Do Mezo w Złośliwe oprogramowanie, Złodzieje
Przetłumacz na:

Badacze cyberbezpieczeństwa potwierdzili istnienie nowego, wyrafinowanego zagrożenia, atakującego użytkowników przeglądarek Google Chrome, Microsoft Edge i Mozilla Firefox. Ten zaawansowany program do kradzieży informacji, znany jako Storm, działa jako wielofunkcyjna platforma ataku, łącząc kradzież haseł, naruszenie bezpieczeństwa plików cookie sesji w celu ominięcia uwierzytelniania dwuskładnikowego oraz zbieranie danych kart płatniczych w ramach jednej złośliwej usługi.

Oferowany jako zestaw narzędzi do wynajęcia Storm znacząco obniża barierę wejścia dla cyberprzestępców, jednocześnie narażając na potencjalne ryzyko ponad miliard użytkowników przeglądarek.

Wewnątrz Storm: Cichy i wyrafinowany złodziej informacji

Storm został zaprojektowany tak, aby unikać wykrycia, jednocześnie maksymalizując ekstrakcję danych. Omija narzędzia zabezpieczające punkty końcowe, zdalnie odszyfrowuje dane uwierzytelniające przeglądarki i umożliwia atakującym przywrócenie przejętych sesji bez wywoływania alarmów.

W przeciwieństwie do tradycyjnego złośliwego oprogramowania, które opierało się na lokalnych technikach deszyfrowania, Storm działa w oparciu o architekturę stealth-first. Po cichu eksfiltruje poufne dane przeglądarki, w tym dane uwierzytelniające, pliki cookie sesji i informacje o portfelach kryptowalut, na serwery kontrolowane przez atakującego, gdzie deszyfrowanie odbywa się z dala od zainfekowanego systemu. To zdalne podejście pozwala mu uniknąć uruchomienia nowoczesnych zabezpieczeń.

Ewolucja technik kradzieży danych uwierzytelniających

Metody kradzieży danych uwierzytelniających uległy znaczącej transformacji. Tradycyjnie atakujący wyodrębniali i odszyfrowywali dane bezpośrednio na urządzeniach ofiar, korzystając z bibliotek SQLite, aby uzyskać dostęp do baz danych uwierzytelniających przeglądarki. Jednak wraz z rozwojem rozwiązań bezpieczeństwa, wykrywanie takich działań stało się łatwiejsze.

Wprowadzenie przez Google w 2024 roku szyfrowania App-Bound Encryption, począwszy od Chrome 127, dodatkowo skomplikowało te ataki, wiążąc klucze szyfrujące z samą przeglądarką. Nawet gdy atakujący próbowali wykorzystać protokoły debugowania przeglądarki lub wstrzyknąć złośliwy kod, systemy bezpieczeństwa często były w stanie zidentyfikować podejrzane zachowania.

Storm reprezentuje kolejny etap tej ewolucji, całkowicie rezygnując z lokalnego odszyfrowywania i przenosząc operacje do infrastruktury kontrolowanej przez atakujących, minimalizując w ten sposób wykrywalne ślady na komputerze ofiary.

Odszyfrowywanie po stronie serwera i zasięg między przeglądarkami

Storm wyprzedza wcześniejsze programy do kradzieży informacji, w pełni obsługując deszyfrowanie na serwerach zdalnych. Obsługuje zarówno przeglądarki oparte na Chromium, jak i Gecko, co czyni go niezwykle wszechstronnym w różnych środowiskach.

Po odszyfrowaniu skradzionych danych są one dostarczane do scentralizowanego panelu operatora używanego przez cyberprzestępców. Panel ten automatyzuje fazę eksploatacji, umożliwiając atakującym efektywne wykorzystanie skompromitowanych danych na dużą skalę.

Automatyczne przechwytywanie sesji i ryzyko korporacyjne

Szczególnie niebezpieczną cechą Storma jest możliwość przywracania uwierzytelnionych sesji. Dostarczając token Google Refresh wraz z geograficznie dopasowanym serwerem proxy SOCKS5, atakujący mogą dyskretnie przywrócić aktywną sesję ofiary bez wywoływania wyzwań uwierzytelniania.

Możliwość ta ma poważne implikacje:

  • Środowiska korporacyjne mogą zostać narażone za pośrednictwem jednej zainfekowanej przeglądarki, co umożliwia dostęp do platform SaaS, systemów wewnętrznych i infrastruktury chmurowej.
  • Poszczególni użytkownicy są narażeni na przejęcie konta, oszustwa finansowe i inne ukierunkowane ataki, nawet jeśli nie muszą bezpośrednio omijać uwierzytelniania dwuskładnikowego.

Ponowne wykorzystanie już uwierzytelnionych sesji skutecznie niweluje tradycyjne zabezpieczenia logowania.

Niskokosztowa, wysoce skuteczna cyberprzestępczość jako usługa

Storm jest dostępny dla cyberprzestępców już za 1000 dolarów miesięcznie, co czyni go przystępnym, a jednocześnie potężnym narzędziem. Ta przystępna cena przyspiesza rozprzestrzenianie się zaawansowanych możliwości ataków, umożliwiając mniej wyrafinowanym cyberprzestępcom przeprowadzanie wysoce skutecznych kampanii.

Połączenie niskich kosztów, ukrycia i automatyzacji oznacza znaczącą zmianę w kierunku skalowalnych operacji cyberprzestępczych opartych na usługach.

Środki obronne: Zmniejszanie narażenia na burzę

Eksperci ds. bezpieczeństwa podkreślają znaczenie wzmocnienia codziennych praktyk cyberbezpieczeństwa w celu ograniczenia ryzyka związanego z zagrożeniami takimi jak Storm:

  • Unikaj pobierania oprogramowania z nieoficjalnych i niepewnych źródeł.
  • Zachowaj czujność i bądź czujny na phishing oraz inne techniki socjotechniczne.
  • Używaj unikalnego hasła dla każdego konta i usługi.
  • W miarę możliwości włączaj uwierzytelnianie dwuskładnikowe i stosuj klucze dostępu, jeśli jest to możliwe.

Choć nie ma jednego środka gwarantującego całkowitą ochronę, wielowarstwowe zabezpieczenia znacząco zmniejszają prawdopodobieństwo wystąpienia naruszeń.

Popularne

Oszustwo e-mailowe dotyczące nieudanego odnowienia...

Phishing, Spam
Nieoczekiwane wiadomości e-mail, które wymagają pilnego działania, należy zawsze traktować z ostrożnością. Cyberprzestępcy wykorzystują panikę, ciekawość i pośpiech, aby zmanipulować użytkowników i skłonić ich do podjęcia złych decyzji. Oszustwo e-mailowe o nazwie „Nieudane odnowienie usługi Cloud Storage” jest wyraźnym przykładem tego, jak przekonujące mogą być te zagrożenia. Pomimo...

Najczęściej oglądane

Ładowanie...