Ερευνητές της Varonis αποκάλυψαν ένα νέο και ιδιαίτερα εξελιγμένο κακόβουλο λογισμικό υποκλοπής πληροφοριών με την ονομασία Storm, το οποίο ανεβάζει τον πήχη στις επιθέσεις κλοπής διαπιστευτηρίων.
Το malware στοχεύει αποθηκευμένους κωδικούς, session cookies, στοιχεία αυτόματης συμπλήρωσης, δεδομένα πιστωτικών καρτών, Google account tokens και πορτοφόλια κρυπτονομισμάτων, αξιοποιώντας μια μέθοδο που το κάνει πιο δύσκολο να εντοπιστεί από τα κλασικά εργαλεία ασφάλειας.
Πώς λειτουργεί το Storm
Τα παραδοσιακά infostealers εκτελούν το μεγαλύτερο μέρος της δουλειάς απευθείας στον μολυσμένο υπολογιστή. Συνήθως φορτώνουν παραβιασμένες βιβλιοθήκες SQLite και προσπαθούν να αποκτήσουν πρόσβαση στα αποθηκευμένα στοιχεία σύνδεσης τοπικά, κάτι που συχνά αφήνει ίχνη και μπορεί να ενεργοποιήσει συστήματα προστασίας endpoint.
Το τοπίο άλλαξε όταν η Google εισήγαγε το App-Bound Encryption στο Chrome 127, τον Ιούλιο του 2024. Με αυτή την προσέγγιση, τα κλειδιά κρυπτογράφησης συνδέθηκαν πιο στενά με τον ίδιο τον browser, κάνοντας την τοπική αποκρυπτογράφηση σαφώς δυσκολότερη για τους επιτιθέμενους.
Το Storm εμφανίζεται ως απάντηση σε αυτή την αλλαγή. Αντί να προσπαθεί να ολοκληρώσει την αποκρυπτογράφηση τοπικά, συλλέγει τα δεδομένα από τη συσκευή ενώ παραμένουν ακόμη κρυπτογραφημένα και τα στέλνει σε υποδομή που ελέγχεται από τους επιτιθέμενους. Η αποκρυπτογράφηση γίνεται στην πλευρά του server, κάτι που μειώνει δραστικά τα ανιχνεύσιμα ίχνη στον υπολογιστή του θύματος.
Τι μπορεί να κλέψει
Σύμφωνα με τη Varonis, το Storm δεν περιορίζεται μόνο σε usernames και passwords. Μπορεί να συλλέξει session cookies, δεδομένα autofill, ιστορικό περιήγησης, στοιχεία πιστωτικών καρτών, tokens λογαριασμών Google, αλλά και αρχεία από φακέλους χρηστών και δημοφιλείς εφαρμογές.
Αυτό που το κάνει ακόμη πιο επικίνδυνο είναι ότι μπορεί να βοηθήσει στην επαναφορά παραβιασμένων συνεδριών. Με άλλα λόγια, δεν αρκείται μόνο στην κλοπή στοιχείων σύνδεσης, αλλά διευκολύνει και την πρακτική κατάχρηση μιας ήδη πιστοποιημένης συνεδρίας χρήστη.
Στόχος browsers πέρα από το Chrome
Το Storm δεν περιορίζεται μόνο σε browsers που βασίζονται στο Chromium. Η Varonis αναφέρει ότι μπορεί να χειριστεί και browsers που βασίζονται σε Gecko, όπως ο Firefox και ο Pale Moon, μεταφέροντας την κρίσιμη επεξεργασία στην πλευρά του server.
Αυτή η αρχιτεκτονική κάνει το κακόβουλο λογισμικό πιο ανθεκτικό απέναντι στις προσπάθειες εντοπισμού και περιορισμού, αφού τα κλεμμένα δεδομένα περνούν μέσα από απομακρυσμένους servers και πλατφόρμες που ελέγχονται από τους ίδιους τους εισβολείς.
Γιατί ανησυχούν οι ειδικοί
Η ανησυχία γύρω από το Storm δεν έχει να κάνει μόνο με τις δυνατότητές του, αλλά και με την προσβασιμότητά του. Η Varonis αναφέρει ότι διατίθεται με κόστος κάτω από 1.000 δολάρια τον μήνα, κάτι που το καθιστά αρκετά προσιτό για κυβερνοεγκληματίες που θέλουν προηγμένα εργαλεία χωρίς τεράστιο κόστος.
Παράλληλα, έχουν ήδη εντοπιστεί περιπτώσεις χρήσης του για κλοπή διαπιστευτηρίων από χρηματοοικονομικές υπηρεσίες, social media και crypto λογαριασμούς σε πολλές χώρες, μεταξύ των οποίων και οι ΗΠΑ.
Ακολουθήστε το Techmaniacs.gr στο Google News για να διαβάζετε πρώτοι όλα τα τεχνολογικά νέα. Ένας ακόμα τρόπος να μαθαίνετε τα πάντα πρώτοι είναι να προσθέσετε το Techmaniacs.gr στον RSS feeder σας χρησιμοποιώντας τον σύνδεσμο: https://techmaniacs.gr/feed/.
