Storm Stealer
网络安全研究人员已证实,一种针对谷歌Chrome浏览器、微软Edge浏览器和Mozilla Firefox浏览器用户的复杂新型威胁正在出现。这款名为“Storm”的高级信息窃取程序是一个多功能攻击平台,它将密码窃取、会话cookie入侵(用于绕过双因素身份验证)以及支付卡数据窃取整合到一个恶意服务中。
Storm 以可租赁工具包的形式提供,大大降低了网络犯罪分子的准入门槛,同时也使超过十亿的浏览器用户面临潜在风险。
目录
风暴内幕:一个沉默而老练的信息窃取者
Storm旨在逃避检测,同时最大限度地提取数据。它绕过终端安全工具,远程解密浏览器凭据,并使攻击者能够在不触发警报的情况下恢复被劫持的会话。
与依赖本地解密技术的传统恶意软件不同,Storm 采用隐蔽优先架构。它会悄悄地将敏感的浏览器数据(包括凭据、会话 cookie 和加密货币钱包信息)泄露到攻击者控制的服务器,并在远离受感染系统的服务器上进行解密。这种远程方式使其能够绕过现代安全防御机制。
凭证窃取技术的演变
窃取凭证的方法已经发生了显著变化。过去,攻击者使用 SQLite 库访问浏览器凭证存储,直接在受害者设备上提取和解密数据。然而,随着安全解决方案的改进,此类活动更容易被检测到。
谷歌于 2024 年在 Chrome 127 版本中引入了应用绑定加密 (App-Bound Encryption) 功能,将加密密钥绑定到浏览器本身,进一步增加了此类攻击的难度。即使攻击者试图利用浏览器调试协议或注入恶意代码,安全系统通常也能识别出可疑行为。
Storm 代表了这一演变的下一步,它完全放弃了本地解密,并将操作转移到攻击者控制的基础设施上,从而最大限度地减少了受害者机器上可检测到的痕迹。
服务器端解密和跨浏览器兼容性
Storm 相较于以往的信息窃取工具,能够完全处理远程服务器上的解密操作。它同时支持基于 Chromium 和 Gecko 内核的浏览器,使其在不同环境下都具有很高的通用性。
被盗数据解密后,会被传送至网络犯罪分子使用的集中式操作面板。该面板实现了攻击阶段的自动化,使攻击者能够高效地大规模利用泄露的数据。
自动会话劫持和企业风险
Storm 的一个特别危险的特性是它能够恢复已认证的会话。攻击者只需提供一个 Google 刷新令牌以及一个地理位置匹配的 SOCKS5 代理,即可在不触发身份验证挑战的情况下,静默地重新建立受害者的活动会话。
这项能力意义重大:
- 企业环境可能通过一个被攻破的浏览器暴露出来,从而获得对 SaaS 平台、内部系统和云基础设施的访问权限。
- 个人用户无需直接绕过双因素身份验证,就可能面临账户被盗用、金融欺诈以及其他有针对性的攻击。
重复使用已认证的会话实际上会使传统的登录保护措施失效。
低成本、高影响力的网络犯罪即服务
Storm 每月只需 1000 美元起,网络犯罪分子即可使用,使其成为一款价格低廉却功能强大的工具。这种低廉的价格加速了高级攻击能力的传播,使技术水平较低的威胁行为者也能发起高效的攻击活动。
低成本、隐蔽性和自动化的结合标志着网络犯罪行动向可扩展的、基于服务的模式发生了重大转变。
防御措施:减少风暴暴露
安全专家强调,加强日常网络安全措施对于降低Storm等威胁带来的风险至关重要:
- 避免从不可信或非官方来源下载软件。
- 时刻警惕网络钓鱼和其他社会工程攻击手段。
- 每个账户和服务都使用不同的密码。
- 尽可能启用双因素身份验证,并在支持的情况下采用密码验证。
虽然没有任何单一措施能够保证完全安全,但多层安全措施可以显著降低安全漏洞被攻破的可能性。
