Báo giá giảm giá nhiều giấy phép
Cơ sở dữ liệu về mối đe dọa Phần mềm độc hại Storm Stealer

Storm Stealer

Đến năm Mezo năm Phần mềm độc hại, Kẻ trộm
Dịch sang:

Các nhà nghiên cứu an ninh mạng đã xác nhận một mối đe dọa mới tinh vi nhắm vào người dùng Google Chrome, Microsoft Edge và Mozilla Firefox. Được biết đến với tên gọi Storm, phần mềm đánh cắp thông tin tiên tiến này hoạt động như một nền tảng tấn công đa chức năng, kết hợp việc đánh cắp mật khẩu, xâm phạm cookie phiên để vượt qua xác thực hai yếu tố và thu thập dữ liệu thẻ thanh toán vào một dịch vụ độc hại duy nhất.

Được cung cấp dưới dạng bộ công cụ cho thuê, Storm làm giảm đáng kể rào cản gia nhập đối với tội phạm mạng trong khi đặt hơn một tỷ người dùng trình duyệt vào tình trạng có nguy cơ bị tấn công.

Bên trong Storm: Một kẻ đánh cắp thông tin thầm lặng và tinh vi

Storm được thiết kế để tránh bị phát hiện trong khi tối đa hóa việc trích xuất dữ liệu. Nó vượt qua các công cụ bảo mật điểm cuối, giải mã từ xa thông tin đăng nhập trình duyệt và cho phép kẻ tấn công khôi phục các phiên bị chiếm đoạt mà không gây ra cảnh báo.

Không giống như các phần mềm độc hại truyền thống dựa vào các kỹ thuật giải mã cục bộ, Storm hoạt động với kiến trúc ưu tiên sự lén lút. Nó âm thầm đánh cắp dữ liệu trình duyệt nhạy cảm, bao gồm thông tin đăng nhập, cookie phiên và thông tin ví tiền điện tử, đến các máy chủ do kẻ tấn công kiểm soát, nơi quá trình giải mã diễn ra ở một nơi khác, không liên quan đến hệ thống bị nhiễm. Cách tiếp cận từ xa này cho phép nó tránh kích hoạt các biện pháp phòng vệ an ninh hiện đại.

Sự tiến hóa của các kỹ thuật đánh cắp thông tin đăng nhập

Các phương pháp đánh cắp thông tin đăng nhập đã trải qua một sự thay đổi đáng kể. Trước đây, kẻ tấn công thường trích xuất và giải mã dữ liệu trực tiếp trên thiết bị của nạn nhân bằng cách sử dụng thư viện SQLite để truy cập vào kho lưu trữ thông tin đăng nhập của trình duyệt. Tuy nhiên, khi các giải pháp bảo mật được cải thiện, hoạt động này trở nên dễ phát hiện hơn.

Việc Google giới thiệu mã hóa liên kết ứng dụng (App-Bound Encryption) vào năm 2024, bắt đầu từ Chrome 127, đã làm phức tạp thêm các cuộc tấn công này bằng cách liên kết các khóa mã hóa với chính trình duyệt. Ngay cả khi kẻ tấn công cố gắng khai thác các giao thức gỡ lỗi của trình duyệt hoặc chèn mã độc hại, các hệ thống bảo mật thường có thể xác định được hành vi đáng ngờ.

Storm đại diện cho bước tiến tiếp theo trong quá trình phát triển này bằng cách từ bỏ hoàn toàn việc giải mã cục bộ và chuyển các hoạt động sang cơ sở hạ tầng do kẻ tấn công kiểm soát, từ đó giảm thiểu tối đa các dấu vết có thể phát hiện được trên máy tính của nạn nhân.

Giải mã phía máy chủ và khả năng truy cập đa trình duyệt

Storm vượt trội hơn các phần mềm đánh cắp thông tin trước đây nhờ khả năng xử lý giải mã hoàn toàn trên máy chủ từ xa. Nó hỗ trợ cả trình duyệt dựa trên Chromium và Gecko, giúp nó hoạt động linh hoạt trên nhiều môi trường khác nhau.

Sau khi dữ liệu bị đánh cắp được giải mã, nó sẽ được chuyển đến bảng điều khiển vận hành tập trung do tội phạm mạng sử dụng. Bảng điều khiển này đưa tự động hóa vào giai đoạn khai thác, cho phép kẻ tấn công tận dụng dữ liệu bị xâm phạm một cách hiệu quả trên quy mô lớn.

Tấn công chiếm đoạt phiên tự động và rủi ro doanh nghiệp

Một tính năng đặc biệt nguy hiểm của Storm là khả năng khôi phục các phiên đã được xác thực. Bằng cách cung cấp Mã thông báo làm mới của Google cùng với máy chủ proxy SOCKS5 phù hợp về mặt địa lý, kẻ tấn công có thể âm thầm thiết lập lại phiên hoạt động của nạn nhân mà không cần kích hoạt các yêu cầu xác thực.

Khả năng này tiềm ẩn những hệ lụy nghiêm trọng:

  • Thông qua một trình duyệt bị xâm nhập duy nhất, môi trường doanh nghiệp có thể bị lộ, cho phép truy cập vào các nền tảng SaaS, hệ thống nội bộ và cơ sở hạ tầng đám mây.
  • Người dùng cá nhân có thể phải đối mặt với nguy cơ chiếm đoạt tài khoản, gian lận tài chính và các cuộc tấn công có chủ đích khác mà không cần phải trực tiếp vượt qua xác thực hai yếu tố.

Việc tái sử dụng các phiên đăng nhập đã được xác thực sẽ vô hiệu hóa các biện pháp bảo vệ đăng nhập truyền thống.

Dịch vụ chống tội phạm mạng chi phí thấp, hiệu quả cao

Storm có giá chỉ từ 1.000 đô la mỗi tháng, khiến nó trở thành một công cụ dễ tiếp cận nhưng mạnh mẽ. Giá cả phải chăng này thúc đẩy sự lan rộng của các khả năng tấn công tiên tiến, cho phép các tác nhân đe dọa ít tinh vi hơn thực hiện các chiến dịch hiệu quả cao.

Sự kết hợp giữa chi phí thấp, tính bí mật và tự động hóa đánh dấu một sự chuyển dịch đáng kể hướng tới các hoạt động tội phạm mạng dựa trên dịch vụ và có khả năng mở rộng.

Các biện pháp phòng vệ: Giảm thiểu nguy cơ bị ảnh hưởng bởi bão.

Các chuyên gia an ninh nhấn mạnh tầm quan trọng của việc tăng cường các biện pháp an ninh mạng hàng ngày để giảm thiểu rủi ro do các mối đe dọa như Storm gây ra:

  • Tránh tải phần mềm từ các nguồn không đáng tin cậy hoặc không chính thức.
  • Hãy luôn cảnh giác trước các chiêu trò lừa đảo qua email và các thủ đoạn kỹ thuật xã hội khác.
  • Hãy sử dụng mật khẩu riêng biệt cho mỗi tài khoản và dịch vụ.
  • Hãy bật xác thực hai yếu tố ở mọi nơi có thể và sử dụng mật khẩu khi được hỗ trợ.

Mặc dù không có biện pháp nào đảm bảo bảo vệ hoàn toàn, nhưng bảo mật nhiều lớp giúp giảm đáng kể khả năng bị xâm phạm.

xu hướng

Lừa đảo qua email về việc gia hạn dung lượng lưu trữ...

Lừa đảo, Thư rác
Những email bất ngờ yêu cầu hành động khẩn cấp luôn cần được xử lý cẩn trọng. Tội phạm mạng dựa vào sự hoảng loạn, tò mò và vội vàng để thao túng người dùng đưa ra những quyết định sai lầm. Chiêu trò lừa đảo qua email "Gia hạn dung lượng lưu trữ đám mây không thành công" là một ví dụ rõ ràng cho thấy những lời đe dọa này có thể thuyết phục đến mức nào. Mặc dù có giọng điệu và thương hiệu chuyên...

Xem nhiều nhất

Đang tải...