Storm Stealer

นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้ยืนยันภัยคุกคามใหม่ที่ซับซ้อนซึ่งมุ่งเป้าไปที่ผู้ใช้ Google Chrome, Microsoft Edge และ Mozilla Firefox ภัยคุกคามนี้มีชื่อว่า Storm เป็นมัลแวร์ขโมยข้อมูลขั้นสูงที่ทำงานเป็นแพลตฟอร์มโจมตีแบบมัลติฟังก์ชั่น โดยรวมการขโมยรหัสผ่าน การเจาะระบบคุกกี้เซสชันเพื่อหลีกเลี่ยงการตรวจสอบสิทธิ์แบบสองขั้นตอน และการเก็บเกี่ยวข้อมูลบัตรชำระเงินไว้ในบริการที่เป็นอันตรายเดียว

Storm ซึ่งให้บริการในรูปแบบชุดเครื่องมือให้เช่า ลดอุปสรรคในการเข้าถึงของอาชญากรไซเบอร์ได้อย่างมาก ในขณะเดียวกันก็ทำให้ผู้ใช้เบราว์เซอร์กว่าพันล้านคนตกอยู่ในความเสี่ยง

ภายในพายุ: ผู้ขโมยข้อมูลเงียบและซับซ้อน

Storm ถูกออกแบบมาเพื่อหลีกเลี่ยงการตรวจจับในขณะที่เพิ่มประสิทธิภาพการดึงข้อมูลให้สูงสุด มันสามารถข้ามเครื่องมือรักษาความปลอดภัยของอุปกรณ์ปลายทาง ถอดรหัสข้อมูลประจำตัวของเบราว์เซอร์จากระยะไกล และช่วยให้ผู้โจมตีสามารถกู้คืนเซสชันที่ถูกยึดครองได้โดยไม่ทำให้เกิดสัญญาณเตือนใดๆ

แตกต่างจากมัลแวร์แบบดั้งเดิมที่อาศัยเทคนิคการถอดรหัสในเครื่อง Storm ทำงานด้วยสถาปัตยกรรมแบบเน้นการซ่อนตัว มันจะแอบส่งข้อมูลสำคัญของเบราว์เซอร์ เช่น ข้อมูลประจำตัว คุกกี้เซสชัน และข้อมูลกระเป๋าเงินคริปโตเคอร์เรนซี ไปยังเซิร์ฟเวอร์ที่ผู้โจมตีควบคุม ซึ่งการถอดรหัสจะเกิดขึ้นห่างจากระบบที่ติดไวรัส วิธีการแบบระยะไกลนี้ช่วยให้มันหลีกเลี่ยงการตรวจจับของระบบรักษาความปลอดภัยสมัยใหม่ได้

วิวัฒนาการของเทคนิคการขโมยข้อมูลประจำตัว

วิธีการขโมยข้อมูลประจำตัวได้เปลี่ยนแปลงไปอย่างมาก ในอดีต ผู้โจมตีจะดึงและถอดรหัสข้อมูลโดยตรงบนอุปกรณ์ของเหยื่อโดยใช้ไลบรารี SQLite เพื่อเข้าถึงที่เก็บข้อมูลประจำตัวของเบราว์เซอร์ อย่างไรก็ตาม เมื่อโซลูชันด้านความปลอดภัยพัฒนาขึ้น การตรวจจับกิจกรรมดังกล่าวจึงง่ายขึ้น

การที่ Google นำระบบเข้ารหัสแบบผูกติดกับแอปพลิเคชัน (App-Bound Encryption) มาใช้ในปี 2024 โดยเริ่มจาก Chrome เวอร์ชัน 127 ทำให้การโจมตีเหล่านี้ซับซ้อนยิ่งขึ้นไปอีก โดยการผูกคีย์เข้ารหัสเข้ากับตัวเบราว์เซอร์เอง แม้ว่าผู้โจมตีจะพยายามใช้ประโยชน์จากโปรโตคอลการดีบักของเบราว์เซอร์หรือแทรกโค้ดที่เป็นอันตราย ระบบรักษาความปลอดภัยก็มักจะสามารถระบุพฤติกรรมที่น่าสงสัยได้

Storm แสดงถึงก้าวต่อไปของการวิวัฒนาการนี้ โดยละทิ้งการถอดรหัสในเครื่องโดยสิ้นเชิง และเปลี่ยนการดำเนินการไปสู่โครงสร้างพื้นฐานที่ผู้โจมตีควบคุม ซึ่งจะช่วยลดร่องรอยที่ตรวจจับได้บนเครื่องของเหยื่อให้น้อยที่สุด

การถอดรหัสฝั่งเซิร์ฟเวอร์และการใช้งานได้กับทุกเบราว์เซอร์

Storm พัฒนาไปไกลกว่าโปรแกรมขโมยข้อมูลรุ่นก่อนๆ โดยสามารถจัดการการถอดรหัสบนเซิร์ฟเวอร์ระยะไกลได้อย่างสมบูรณ์ รองรับทั้งเบราว์เซอร์ที่ใช้ Chromium และ Gecko ทำให้ใช้งานได้หลากหลายในสภาพแวดล้อมต่างๆ

เมื่อข้อมูลที่ถูกขโมยได้รับการถอดรหัสแล้ว ข้อมูลนั้นจะถูกส่งไปยังแผงควบคุมส่วนกลางที่กลุ่มอาชญากรไซเบอร์ใช้ แผงควบคุมนี้จะนำระบบอัตโนมัติเข้ามาใช้ในขั้นตอนการโจมตี ทำให้ผู้โจมตีสามารถใช้ประโยชน์จากข้อมูลที่ถูกบุกรุกได้อย่างมีประสิทธิภาพในวงกว้าง

การโจรกรรมเซสชันอัตโนมัติและความเสี่ยงขององค์กร

คุณสมบัติที่อันตรายอย่างยิ่งของ Storm คือความสามารถในการกู้คืนเซสชันที่ได้รับการตรวจสอบสิทธิ์แล้ว โดยการใช้ Google Refresh Token ร่วมกับพร็อกซี SOCKS5 ที่ตรงกับตำแหน่งทางภูมิศาสตร์ ผู้โจมตีสามารถสร้างเซสชันที่ใช้งานอยู่ของเหยื่อขึ้นมาใหม่ได้อย่างเงียบๆ โดยไม่ต้องเรียกใช้การตรวจสอบสิทธิ์ใดๆ

ความสามารถนี้ส่งผลกระทบอย่างร้ายแรง:

• สภาพแวดล้อมขององค์กรอาจตกอยู่ในความเสี่ยงผ่านเบราว์เซอร์ที่ถูกบุกรุกเพียงตัวเดียว ซึ่งจะทำให้สามารถเข้าถึงแพลตฟอร์ม SaaS ระบบภายใน และโครงสร้างพื้นฐานบนคลาวด์ได้
• ผู้ใช้งานแต่ละรายอาจเผชิญกับการถูกแฮ็กบัญชี การฉ้อโกงทางการเงิน และการโจมตีแบบเจาะจงเป้าหมายอื่นๆ โดยไม่จำเป็นต้องข้ามขั้นตอนการยืนยันตัวตนสองขั้นตอนโดยตรง

การนำเซสชันที่ได้รับการตรวจสอบสิทธิ์แล้วกลับมาใช้ซ้ำ จะทำให้การป้องกันการเข้าสู่ระบบแบบดั้งเดิมไร้ผลโดยสิ้นเชิง

บริการปราบปรามอาชญากรรมไซเบอร์ต้นทุนต่ำแต่ทรงประสิทธิภาพ

โปรแกรม Storm มีให้เหล่าอาชญากรไซเบอร์ใช้งานได้ในราคาเพียง 1,000 ดอลลาร์ต่อเดือน ทำให้เป็นเครื่องมือที่เข้าถึงได้ง่ายแต่ทรงพลัง ราคาที่เข้าถึงได้นี้ช่วยเร่งการแพร่กระจายของความสามารถในการโจมตีขั้นสูง ทำให้ผู้คุกคามที่มีทักษะไม่ซับซ้อนมากนักสามารถดำเนินแคมเปญที่มีประสิทธิภาพสูงได้

การผสมผสานระหว่างต้นทุนต่ำ การพรางตัว และระบบอัตโนมัติ ถือเป็นการเปลี่ยนแปลงครั้งสำคัญไปสู่การปฏิบัติการอาชญากรรมไซเบอร์แบบบริการที่ปรับขนาดได้

มาตรการป้องกัน: ลดความเสี่ยงจากพายุ

ผู้เชี่ยวชาญด้านความปลอดภัยเน้นย้ำถึงความสำคัญของการเสริมสร้างแนวปฏิบัติด้านความปลอดภัยทางไซเบอร์ในชีวิตประจำวัน เพื่อลดความเสี่ยงที่เกิดจากภัยคุกคามต่างๆ เช่น Storm:

• หลีกเลี่ยงการดาวน์โหลดซอฟต์แวร์จากแหล่งที่ไม่น่าเชื่อถือหรือไม่เป็นทางการ
• โปรดระมัดระวังการหลอกลวงแบบฟิชชิ่งและกลอุบายทางสังคมอื่นๆ
• ใช้รหัสผ่านที่ไม่ซ้ำกันสำหรับทุกบัญชีและบริการ
• เปิดใช้งานการตรวจสอบสิทธิ์แบบสองขั้นตอนทุกครั้งที่ทำได้ และใช้รหัสผ่านเมื่อรองรับ

แม้ว่าจะไม่มีมาตรการใดมาตรการเดียวที่รับประกันการป้องกันได้อย่างสมบูรณ์ แต่การรักษาความปลอดภัยแบบหลายชั้นจะช่วยลดโอกาสที่จะถูกโจมตีได้อย่างมาก