Storm Stealer
網路安全研究人員已證實,一種針對GoogleChrome瀏覽器、微軟Edge瀏覽器和Mozilla Firefox瀏覽器用戶的複雜新型威脅正在出現。這款名為「Storm」的高階資訊竊取程式是一個多功能攻擊平台,它將密碼竊取、會話cookie入侵(用於繞過雙重認證)以及支付卡資料竊取整合到一個惡意服務中。
Storm 以可租賃工具包的形式提供,大大降低了網路犯罪分子的進入門檻,同時也使超過十億的瀏覽器用戶面臨潛在風險。
目錄
風暴內幕:一個沉默而老練的資訊竊取者
Storm旨在逃避檢測,同時最大限度地提取資料。它繞過終端安全工具,遠端解密瀏覽器憑證,並使攻擊者能夠在不觸發警報的情況下恢復被劫持的會話。
與依賴本地解密技術的傳統惡意軟體不同,Storm 採用隱藏優先架構。它會悄悄地將敏感的瀏覽器資料(包括憑證、會話 cookie 和加密貨幣錢包資訊)洩漏到攻擊者控制的伺服器,並在遠離受感染系統的伺服器上進行解密。這種遠端方式使其能夠繞過現代安全防禦機制。
憑證竊取技術的演變
竊取憑證的方法已經發生了顯著變化。過去,攻擊者使用 SQLite 庫存取瀏覽器憑證存儲,直接在受害者設備上提取和解密資料。然而,隨著安全解決方案的改進,此類活動更容易被偵測到。
Google於 2024 年在 Chrome 127 版本中引入了應用程式綁定加密 (App-Bound Encryption) 功能,將加密金鑰綁定到瀏覽器本身,進一步增加了此類攻擊的難度。即使攻擊者試圖利用瀏覽器偵錯協定或註入惡意程式碼,安全系統通常也能辨識出可疑行為。
Storm 代表了這一演變的下一步,它完全放棄了本地解密,並將操作轉移到攻擊者控制的基礎設施上,從而最大限度地減少了受害者機器上可檢測到的痕跡。
伺服器端解密和跨瀏覽器相容性
Storm 相較於以往的資訊竊取工具,能夠完全處理遠端伺服器上的解密操作。它同時支援基於 Chromium 和 Gecko 核心的瀏覽器,使其在不同環境下都具有很高的通用性。
被竊資料解密後,會被傳送至網路犯罪者所使用的集中式操作面板。該面板實現了攻擊階段的自動化,使攻擊者能夠有效地大規模利用洩漏的資料。
自動會話劫持和企業風險
Storm 的一個特別危險的功能是它能夠恢復已認證的會話。攻擊者只需提供一個 Google 刷新令牌以及一個地理位置匹配的 SOCKS5 代理,即可在不觸發身份驗證挑戰的情況下,靜默地重新建立受害者的活動會話。
這項能力意義重大:
- 企業環境可能透過一個被攻破的瀏覽器暴露出來,從而獲得對 SaaS 平台、內部系統和雲端基礎設施的存取權。
- 個人用戶無需直接繞過雙重認證,就可能面臨帳戶被盜用、金融詐欺以及其他有針對性的攻擊。
重複使用已認證的會話實際上會使傳統的登入保護措施失效。
低成本、高影響力的網路犯罪即服務
Storm 每月只需 1000 美元起,網路犯罪分子即可使用,使其成為一款價格低廉卻功能強大的工具。這種低廉的價格加速了高階攻擊能力的傳播,使技術水準較低的威脅行為者也能發動高效的攻擊活動。
低成本、隱藏性和自動化的結合標誌著網路犯罪行動向可擴展的、基於服務的模式發生了重大轉變。
防禦措施:減少風暴暴露
安全專家強調,加強日常網路安全措施對於降低Storm等威脅的風險至關重要:
- 避免從不可信或非官方來源下載軟體。
- 時刻警惕網路釣魚和其他社會工程攻擊手段。
- 每個帳戶和服務都使用不同的密碼。
- 盡可能啟用雙重認證,並在支援的情況下採用密碼驗證。
雖然沒有任何單一措施可以保證完全安全,但多層安全措施可以顯著降低安全漏洞被攻破的可能性。
