Cercetătorii de la Varonis avertizează asupra malware-ului Storm care fură date sensibile - Amenințarea afectează inclusiv codurile de autentificare 2FA

Un nou infostealer numit Storm poate ocoli în practică protecții precum 2FA , pentru că mută decriptarea datelor furate pe servere controlate de atacatori, ceea ce îl face mai greu de prins de multe soluții de securitate instalate pe dispozitive, potrivit BGR . Cercetători ai companiei de securitate cibernetică Varonis au identificat malware-ul ca fiind un „infostealer” (un tip de program malițios care colectează date sensibile și le trimite către un atacator). În cazul Storm, țintele includ credențiale din browser (conturi și parole), cookie-uri de sesiune, portofele cripto și alte date care, odată decriptate, pot fi folosite pentru preluarea conturilor. De ce contează: decriptare „în afara” dispozitivului, mai puține urme pentru detecție În mod obișnuit, astfel de malware încearcă să facă „munca grea” local, pe calculatorul infectat, inclusiv prin încărcarea unor biblioteci SQLite compromise pentru a ajunge la datele stocate. Această abordare este relativ comună și, în general, mai ușor de detectat de instrumentele de securitate de tip endpoint (soluții care monitorizează și protejează dispozitivele utilizatorilor). BGR arată că Google a complicat acest model în iulie 2024, odată cu introducerea App-Bound Encryption în Chrome 127, care leagă cheile de criptare de browser și „face decriptarea locală și mai dificilă”, conform explicațiilor Varonis. Ca reacție, atacatorii au trecut la metode precum injectarea de cod malițios în Chrome sau folosirea protocoalelor de depanare, dar acestea puteau lăsa în continuare urme detectabile. Storm schimbă tactica: datele colectate local rămân criptate și sunt trimise către o infrastructură „proprietară”, unde sunt decriptate pe server. Consecința practică este că multe instrumente endpoint, construite să identifice decriptarea pe dispozitiv, pot rata activitatea. Ce date poate colecta și ce înseamnă pentru utilizatori După infectare, atacatorii pot strânge date necesare pentru a „restaura” sesiuni deturnate de la distanță. Lista menționată include: parole salvate; cookie-uri de sesiune; date de completare automată a formularelor; token-uri de cont Google și coduri 2FA; date de card; istoricul de navigare; documente din directoarele utilizatorului și din aplicații populare; portofele cripto. În plus, Storm ar „gestiona” pe server atât browsere bazate pe Chromium, cât și pe Gecko (precum Firefox sau Pale Moon), ceea ce extinde suprafața de atac dincolo de un singur ecosistem. Accesibilitate pentru atacatori și recomandări de apărare Varonis susține că Storm ar fi disponibil pentru „mai puțin de 1.000 de dolari pe lună” (aprox. 4.600 lei), ceea ce îl face relativ accesibil pentru atacatori la distanță. Compania spune că a observat „multe” cazuri de utilizare pentru furt de credențiale financiare, de social media și de criptomonede în mai multe țări, inclusiv în SUA, fără a detalia în material amploarea exactă. Pentru utilizatori, măsurile de bază indicate în articol includ: ștergerea regulată a cookie-urilor din browser (ideal programată); evitarea descărcărilor și site-urilor suspecte; folosirea unui manager de parole (exemplu dat: Bitwarden); actualizarea instrumentelor de securitate și scanări regulate. [...]