Storm Stealer

Kinumpirma ng mga mananaliksik sa cybersecurity ang isang sopistikadong bagong banta na tumatarget sa mga gumagamit ng Google Chrome, Microsoft Edge, at Mozilla Firefox. Kilala bilang Storm, ang advanced infostealer na ito ay gumagana bilang isang multi-functional attack platform, na pinagsasama ang pagnanakaw ng password, session cookie compromise para sa two-factor authentication bypass, at pagkolekta ng data ng payment card sa iisang malisyosong serbisyo.

Iniaalok bilang isang maaaring paupahang toolkit, lubos na binabawasan ng Storm ang hadlang sa pagpasok para sa mga cybercriminal habang inilalagay ang mahigit isang bilyong gumagamit ng browser sa potensyal na panganib.

Inside Storm: Isang Tahimik at Sopistikadong Infostealer

Dinisenyo ang Storm upang maiwasan ang pagtuklas habang pinapahusay ang pagkuha ng datos. Nilalampasan nito ang mga tool sa seguridad ng endpoint, malayuang i-decrypt ang mga kredensyal ng browser, at binibigyang-daan ang mga umaatake na ibalik ang mga na-hijack na sesyon nang hindi nagtataas ng mga alarma.

Hindi tulad ng tradisyonal na malware, na umaasa sa mga lokal na pamamaraan ng decryption, ang Storm ay gumagana gamit ang isang stealth-first na arkitektura. Tahimik nitong inilalabas ang sensitibong data ng browser, kabilang ang mga kredensyal, session cookies, at impormasyon ng cryptocurrency wallet, patungo sa mga server na kontrolado ng attacker, kung saan nagaganap ang decryption nang malayo sa nahawaang sistema. Ang remote na pamamaraang ito ay nagbibigay-daan dito upang maiwasan ang pag-trigger ng mga modernong depensa sa seguridad.

Ang Ebolusyon ng mga Teknik sa Pagnanakaw ng Kredensyal

Ang mga paraan ng pagnanakaw ng kredensyal ay sumailalim sa isang malaking pagbabago. Sa kasaysayan, ang mga umaatake ay direktang kumukuha at nagde-decrypt ng data sa mga device ng biktima gamit ang mga SQLite library upang ma-access ang mga browser credential store. Gayunpaman, habang bumubuti ang mga solusyon sa seguridad, ang ganitong aktibidad ay naging mas madaling matukoy.

Ang pagpapakilala ng App-Bound Encryption ng Google noong 2024, simula sa Chrome 127, ay lalong nagpagulo sa mga pag-atakeng ito sa pamamagitan ng pag-bind ng mga encryption key sa mismong browser. Kahit na sinubukan ng mga attacker na gamitin ang mga protocol ng pag-debug ng browser o magpasok ng malisyosong code, kadalasang natutukoy ng mga security system ang kahina-hinalang pag-uugali.

Kinakatawan ng Storm ang susunod na hakbang sa ebolusyong ito sa pamamagitan ng ganap na pag-abandona sa lokal na decryption at paglilipat ng mga operasyon sa imprastrakturang kontrolado ng attacker, sa gayon ay binabawasan ang mga nakikitang bakas sa makina ng biktima.

Decryption sa Side ng Server at Abot sa Iba’t Ibang Browser

Lumalampas ang Storm sa mga naunang infostealer sa pamamagitan ng ganap na paghawak sa decryption sa mga remote server. Sinusuportahan nito ang parehong Chromium-based at Gecko-based na mga browser, kaya lubos itong magagamit sa iba't ibang kapaligiran.

Kapag na-decrypt na ang ninakaw na data, ihahatid ito sa isang sentralisadong operator panel na ginagamit ng mga cybercriminal. Ipinakikilala ng panel na ito ang automation sa yugto ng pagsasamantala, na nagbibigay-daan sa mga umaatake na mahusay na magamit ang nakompromisong data nang malawakan.

Awtomatikong Pag-hijack ng Sesyon at Panganib sa Enterprise

Isang partikular na mapanganib na katangian ng Storm ay ang kakayahan nitong ibalik ang mga na-authenticate na sesyon. Sa pamamagitan ng pagbibigay ng Google Refresh Token kasama ng isang heograpikong tugmang SOCKS5 proxy, maaaring tahimik na muling maitatag ng mga umaatake ang aktibong sesyon ng biktima nang hindi nagti-trigger ng mga hamon sa pagpapatotoo.

Ang kakayahang ito ay may malubhang implikasyon:

• Maaaring malantad ang mga enterprise environment sa pamamagitan ng iisang nakompromisong browser, na nagbibigay ng access sa mga SaaS platform, internal system, at cloud infrastructure.
• Ang mga indibidwal na gumagamit ay nahaharap sa mga pagkuha ng account, pandaraya sa pananalapi, at higit pang mga naka-target na pag-atake nang hindi kinakailangang direktang laktawan ang two-factor authentication.

Ang muling paggamit ng mga na-authenticate nang sesyon ay epektibong nagpapawalang-bisa sa mga tradisyonal na proteksyon sa pag-login.

Mababang Gastos, Mataas na Epekto sa Cybercrime-as-a-Service

Ang Storm ay makukuha ng mga cybercriminal sa halagang kasingbaba ng $1,000 kada buwan, kaya isa itong madaling makuha ngunit makapangyarihang kagamitan. Ang abot-kayang presyong ito ay nagpapabilis sa pagkalat ng mga advanced na kakayahan sa pag-atake, na nagbibigay-daan sa mga hindi gaanong sopistikadong aktor ng banta na magsagawa ng mga lubos na epektibong kampanya.

Ang kombinasyon ng mababang gastos, stealth, at automation ay nagmamarka ng isang makabuluhang pagbabago patungo sa scalable at service-based na mga operasyon sa cybercrime.

Mga Hakbang na Pangdepensa: Pagbabawas ng Pagkakalantad sa Bagyo

Binibigyang-diin ng mga eksperto sa seguridad ang kahalagahan ng pagpapalakas ng pang-araw-araw na kasanayan sa cybersecurity upang mabawasan ang mga panganib na dulot ng mga banta tulad ng Storm:

• Iwasan ang pag-download ng software mula sa mga hindi mapagkakatiwalaan o hindi opisyal na mapagkukunan.
• Manatiling mapagmatyag laban sa phishing at iba pang mga taktika ng social engineering.
• Gumamit ng mga natatanging password para sa bawat account at serbisyo.
• Paganahin ang two-factor authentication hangga't maaari at gamitin ang mga passkey kapag sinusuportahan.

Bagama't walang iisang hakbang ang garantiya ng kumpletong proteksyon, ang layered security ay lubos na nakakabawas sa posibilidad ng kompromiso.