Storm: nowy infostealer przejmuje sesje i odszyfrowuje dane po stronie serwera - Security Bez Tabu

Storm: nowy infostealer przejmuje sesje i odszyfrowuje dane po stronie serwera

Cybersecurity news

Wprowadzenie do problemu / definicja

Storm to nowy infostealer zaprojektowany do kradzieży danych uwierzytelniających, ciasteczek sesyjnych, tokenów, danych autouzupełniania oraz informacji z portfeli kryptowalutowych. Najbardziej niepokojącą cechą tego zagrożenia jest przeniesienie procesu odszyfrowywania przechwyconych artefaktów z urządzenia ofiary do infrastruktury operatora, co znacząco utrudnia wykrycie aktywności przez klasyczne mechanizmy ochronne.

W praktyce oznacza to zmianę podejścia: zamiast odczytywać i odszyfrowywać dane lokalnie, malware eksportuje zaszyfrowane pliki oraz bazy z przeglądarek, a następnie przetwarza je już po stronie serwera kontrolowanego przez atakującego. Taki model ogranicza liczbę lokalnych śladów kompromitacji i zwiększa skuteczność kradzieży aktywnych sesji.

W skrócie

Storm pojawił się jako nowoczesny infostealer oferowany w modelu subskrypcyjnym. Jego operatorzy stawiają nie tylko na kradzież haseł, ale przede wszystkim na przejmowanie już uwierzytelnionych sesji użytkowników.

  • kradnie hasła, cookies, tokeny i dane autouzupełniania,
  • zbiera informacje z komunikatorów i portfeli kryptowalutowych,
  • przesyła zaszyfrowane artefakty do odszyfrowania po stronie serwera,
  • umożliwia automatyczne odtwarzanie sesji z użyciem tokenów i proxy,
  • ogranicza widoczność działań złośliwego kodu na stacji roboczej.

Kontekst / historia

Rynek infostealerów od lat przechodzi ewolucję. Początkowo złośliwe oprogramowanie skupiało się głównie na prostym wykradaniu zapisanych haseł. Z czasem atakujący zaczęli jednak koncentrować się na przejmowaniu aktywnych sesji, ponieważ to one pozwalają ominąć część mechanizmów ochronnych, w tym wybrane wdrożenia MFA.

Znaczenie tego trendu wzrosło wraz z rozwojem zabezpieczeń w przeglądarkach. Wprowadzenie nowych mechanizmów ochrony danych, takich jak App-Bound Encryption w Chrome na Windows, zwiększyło trudność lokalnego odszyfrowywania artefaktów. W odpowiedzi twórcy malware zaczęli przenosić krytyczne operacje poza urządzenie ofiary. Storm wpisuje się dokładnie w ten kierunek rozwoju, łącząc kradzież danych z automatyzacją odzyskiwania sesji.

Analiza techniczna

Storm działa przede wszystkim w środowisku Windows i ma przechwytywać dane z przeglądarek opartych na Chromium oraz wybranych przeglądarek z rodziny Gecko. Zamiast wykonywać pełne odszyfrowanie lokalnie, malware eksportuje zaszyfrowane dane do infrastruktury atakującego. To podejście redukuje liczbę lokalnych wskaźników kompromitacji związanych z dostępem do magazynów przeglądarki.

Według opisywanych materiałów zagrożenie może pozyskiwać szeroki zakres danych użytkownika:

  • zapisane hasła,
  • ciasteczka sesyjne,
  • dane autouzupełniania,
  • tokeny kont, w tym tokeny usług internetowych,
  • dane kart płatniczych,
  • historię przeglądania,
  • dane z komunikatorów, takich jak Telegram, Signal i Discord,
  • informacje z rozszerzeń i aplikacji portfeli kryptowalutowych,
  • dokumenty z katalogów użytkownika,
  • informacje systemowe oraz zrzuty ekranu.

Istotnym elementem ekosystemu jest panel operatorski. Nie służy on wyłącznie do odbioru logów, ale także do automatyzacji przejmowania sesji. Atakujący mogą wykorzystywać przechwycone tokeny i cookies wraz z proxy dopasowanym geograficznie do lokalizacji ofiary, co zwiększa szansę na skuteczne odtworzenie sesji bez wzbudzania dodatkowych alertów bezpieczeństwa.

Model infrastrukturalny również zasługuje na uwagę. Operatorzy Storm mają umożliwiać podłączanie własnych serwerów VPS do centralnej platformy, dzięki czemu ruch i wykradzione dane mogą być przekierowywane przez infrastrukturę pozostającą pod ich kontrolą. To utrudnia szybką neutralizację całego ekosystemu i pozwala rozproszyć operacje między wieloma węzłami.

Konsekwencje / ryzyko

Największym ryzykiem związanym ze Storm nie jest sama kradzież hasła, lecz przejęcie aktywnej, już uwierzytelnionej sesji. W takim scenariuszu atakujący może uzyskać dostęp do poczty, systemów SaaS, zasobów chmurowych, paneli administracyjnych czy kont finansowych bez konieczności ponownego logowania.

Dla organizacji oznacza to realne zagrożenie biznesowe i operacyjne:

  • przejęcie kont uprzywilejowanych,
  • kradzież danych z systemów chmurowych,
  • lateral movement w środowisku firmowym,
  • eksfiltrację dokumentów i danych wrażliwych,
  • nadużycia finansowe oraz przejęcia kont kryptowalutowych,
  • wykorzystanie skradzionych informacji do dalszych kampanii phishingowych,
  • sprzedaż logów dostępowych na forach cyberprzestępczych.

Dodatkowym czynnikiem ryzyka jest model malware-as-a-service. Dzięki subskrypcji próg wejścia dla mniej zaawansowanych grup przestępczych znacząco spada, a gotowe funkcje budowy, zarządzania i odzyskiwania sesji zwiększają skalę potencjalnych kampanii.

Rekomendacje

Organizacje powinny przyjąć, że sama ochrona haseł nie wystarcza. Kluczowe staje się monitorowanie sesji, anomalii behawioralnych i nietypowego użycia tokenów dostępowych. Obrona przed nowoczesnymi infostealerami musi obejmować zarówno stacje robocze, jak i warstwę tożsamości.

  • wdrożyć monitorowanie sesji i wykrywanie nietypowego użycia tokenów,
  • analizować logowania pod kątem lokalizacji, reputacji adresów IP i wzorców dostępu,
  • skracać czas życia sesji oraz częściej rotować tokeny,
  • wymuszać ponowną autoryzację dla operacji wysokiego ryzyka,
  • segmentować dostęp do aplikacji SaaS i zasobów chmurowych,
  • blokować uruchamianie nieautoryzowanych plików wykonywalnych,
  • stosować EDR ukierunkowany na wykrywanie kradzieży artefaktów przeglądarki i nietypowej komunikacji,
  • utwardzać konfigurację przeglądarek, rozszerzeń i portfeli kryptowalutowych,
  • izolować stacje robocze administratorów i użytkowników uprzywilejowanych,
  • regularnie szkolić użytkowników z phishingu i metod dostarczania malware.

W przypadku incydentu sama zmiana hasła może nie wystarczyć. Konieczne może być unieważnienie wszystkich aktywnych sesji, reset tokenów odświeżania, przegląd zaufanych urządzeń oraz analiza, czy atakujący nie uzyskał trwałego dostępu do środowiska.

Podsumowanie

Storm pokazuje, że nowoczesne infostealery rozwijają się w kierunku cichszego działania, mniejszej liczby lokalnych artefaktów i większej automatyzacji przejmowania aktywnych sesji. Przeniesienie odszyfrowywania danych na serwer operatora znacząco utrudnia wykrycie ataku i zwiększa skuteczność działań przeciwko użytkownikom indywidualnym oraz organizacjom.

Dla zespołów bezpieczeństwa to wyraźny sygnał, że ochrona tożsamości, sesji i zachowań użytkowników staje się równie ważna jak tradycyjna ochrona poświadczeń. Storm nie jest jedynie kolejnym stealerem — to przykład dojrzewania cyberprzestępczych usług ukierunkowanych na realne przejęcie dostępu.

Źródła

  1. BleepingComputer — https://www.bleepingcomputer.com/news/security/the-silent-storm-new-infostealer-hijacks-sessions-decrypts-server-side/
  2. Google Security Blog — https://security.googleblog.com/2024/07/improving-security-of-chrome-cookies-on-windows.html
  3. Varonis — Cookie-Bite — https://www.varonis.com/blog/cookie-bite
  4. Varonis — SessionShark — https://www.varonis.com/blog/sessionshark
  5. MITRE ATT&CK — Steal Web Session Cookie — https://attack.mitre.org/techniques/T1539/