Storm Stealer
Дослідники з кібербезпеки підтвердили наявність нової складної загрози, спрямованої на користувачів Google Chrome, Microsoft Edge та Mozilla Firefox. Цей передовий інфостейлер, відомий як Storm, працює як багатофункціональна платформа для атак, поєднуючи крадіжку паролів, компрометацію файлів cookie сесії для обходу двофакторної автентифікації та збір даних платіжних карток в одному шкідливому сервісі.
Пропонований як орендований інструментарій, Storm значно знижує поріг входу для кіберзлочинців, водночас наражаючи на потенційну небезпеку понад мільярд користувачів браузерів.
Зміст
Inside Storm: Тихий та витончений викрадач інформації
Storm розроблено для уникнення виявлення, одночасно максимізуючи вилучення даних. Він обходить інструменти захисту кінцевих точок, віддалено розшифровує облікові дані браузера та дозволяє зловмисникам відновлювати викрадені сеанси без спрацьовування тривоги.
На відміну від традиційного шкідливого програмного забезпечення, яке спиралося на локальні методи розшифрування, Storm працює за принципом «прихованої архітектури». Він непомітно витягує конфіденційні дані браузера, включаючи облікові дані, файли cookie сеансу та інформацію про криптовалютні гаманці, на сервери, контрольовані зловмисником, де розшифрування відбувається поза межами зараженої системи. Такий віддалений підхід дозволяє уникнути спрацьовування сучасних засобів безпеки.
Еволюція методів крадіжки облікових даних
Методи крадіжки облікових даних зазнали значної трансформації. Історично зловмисники витягували та розшифровували дані безпосередньо на пристроях жертви, використовуючи бібліотеки SQLite для доступу до сховищ облікових даних браузера. Однак, оскільки рішення безпеки вдосконалювалися, таку активність стало легше виявляти.
Впровадження компанією Google у 2024 році технології App-Bound Encryption, починаючи з Chrome 127, ще більше ускладнило ці атаки, прив’язавши ключі шифрування до самого браузера. Навіть коли зловмисники намагалися використати протоколи налагодження браузера або впровадити шкідливий код, системи безпеки часто могли виявляти підозрілу поведінку.
Storm являє собою наступний крок у цій еволюції, повністю відмовляючись від локального розшифрування та переносячи операції на контрольовану зловмисником інфраструктуру, тим самим мінімізуючи сліди виявлення на машині жертви.
Розшифрування на стороні сервера та кросбраузерне охоплення
Storm перевершує попередні інфостейлери, повністю обробляючи розшифровку на віддалених серверах. Він підтримує браузери на базі Chromium та Gecko, що робить його дуже універсальним у різних середовищах.
Після розшифрування викрадених даних вони передаються на централізовану панель оператора, яку використовують кіберзлочинці. Ця панель автоматизує етап експлуатації, дозволяючи зловмисникам ефективно використовувати скомпрометовані дані у великих масштабах.
Автоматизоване захоплення сеансів та корпоративний ризик
Особливо небезпечною особливістю Storm є його здатність відновлювати автентифіковані сесії. Надаючи токен оновлення Google разом із географічно зіставленим проксі-сервером SOCKS5, зловмисники можуть непомітно відновити активну сесію жертви, не викликаючи викликів автентифікації.
Ця здатність має серйозні наслідки:
- Корпоративні середовища можуть бути викриті через один скомпрометований браузер, що надає доступ до SaaS-платформ, внутрішніх систем та хмарної інфраструктури.
- Окремі користувачі стикаються із захопленням облікових записів, фінансовим шахрайством та подальшими цілеспрямованими атаками без необхідності безпосередньо обходити двофакторну автентифікацію.
Повторне використання вже автентифікованих сесій фактично нівелює традиційні засоби захисту входу.
Низька вартість, високий вплив кіберзлочинності як послуги
Storm доступний кіберзлочинцям лише за 1000 доларів на місяць, що робить його доступним, але потужним інструментом. Така доступність прискорює поширення передових можливостей атак, дозволяючи менш досвідченим зловмисникам проводити високоефективні кампанії.
Поєднання низької вартості, прихованості та автоматизації знаменує собою значний зсув у бік масштабованих операцій з кіберзлочинності на основі послуг.
Захисні заходи: зменшення впливу шторму
Експерти з безпеки наголошують на важливості посилення щоденних практик кібербезпеки для зменшення ризиків, що виникають через такі загрози, як Storm:
- Уникайте завантаження програмного забезпечення з ненадійних або неофіційних джерел.
- Будьте пильними щодо фішингу та інших тактик соціальної інженерії.
- Використовуйте унікальні паролі для кожного облікового запису та сервісу.
- Увімкніть двофакторну автентифікацію, де це можливо, та використовуйте ключі доступу, якщо це підтримується.
Хоча жоден окремий захід не гарантує повного захисту, багаторівнева безпека значно знижує ймовірність компрометації.
