Storm infostealer
A Varonis Threat Labs által bemutatott Storm infostealer egy új generációs adatlopó malware. A Storm legfontosabb újítása, hogy szakít a hagyományos működéssel. A korábbi infostealerek a fertőzött gépen próbálták visszafejteni a böngészőben tárolt jelszavakat, ami jól detektálható viselkedést eredményezett. A Storm ehelyett nem végez lokális dekriptálást, hanem az összegyűjtött, titkosított adatokat egyszerűen elküldi a támadó infrastruktúrájára, ahol történik a feldolgozás. Ez a server-side decryption modell jelentősen csökkenti az endpointon látható nyomokat, így megkerüli a hagyományos EDR/AV detekciót.
A malware által gyűjtött adatok köre rendkívül széles, böngészőben tárolt jelszavak, session cookie-k, autofill adatok, hitelkártya-információk, valamint kriptotárcák és különböző account tokenek. Ezek kombinációja lehetővé teszi, hogy a támadó ne csak jelszavakat lopjon, hanem közvetlenül átvegye a felhasználói sessionöket, így megkerülve az MFA védelmet is.
A Storm egyik legkritikusabb képessége a session hijacking automatizálása. A vezérlőpanel képes a megszerzett cookie-k és tokenek felhasználásával újraépíteni az áldozat aktív bejelentkezett állapotát, például SaaS szolgáltatásokban vagy Google-fiókokban. Ez azt jelenti, hogy a támadó anélkül jut hozzá rendszerekhez, hogy valaha is bejelentkezési folyamaton menne keresztül.
A Storm előfizetéses modellben érhető el, akár havi pár száz dollárért. Ez jelentősen csökkenti a belépési küszöböt, és lehetővé teszi, hogy széles körben alkalmazzák különböző támadók.
Technikai szempontból a Storm egyértelmű válasz a böngészők új védelmi mechanizmusaira, például a Chrome App-Bound Encryption-re. Mivel a dekriptálás már nem a célgépen történik, a klasszikus védelem, amely a lokális hozzáférési mintákra épít hatástalanná válik.
