Storm prikuplja podatke sačuvane u pregledaču, kao što su kredencijali za prijavu, kolačići sesije i informacije o kripto novčanicima, a zatim tajno prenosi podatke na servere koje kontrolišu napadači.
Za razliku od sličnih malvera, Storm ne pokušava da dešifruje podatke na samom uređaju. Umjesto toga, prikuplja kriptovane podatke iz pregledača i šalje ih napadačima, pa se dešifrovanje obavlja van sistema žrtve.
Ovaj pristup dolazi kao odgovor na bezbjednosne mehanizme poput App-Bound Encryption, koji je Google uveo u verziji 127 u julu 2024., koji otežava lokalno dešifrovanje podataka.
Stariji infostealeri pokušavali su da pristupe bazama podataka na uređaju, što je često bilo detektovano kao sumnjivo ponašanje. Međutim, Storm u potpunosti uklanja ove signale sumnjivog ponašanja. Podržava i Chromium i Gecko pregledače, uključujući Mozilla Firefox, čime proširuje domet napada .
Storm prikuplja sačuvane lozinke, kolačiće sesije, unose automatskog popunjavanja, tokene Google naloga, podatke o platnim karticama i istoriju pretraživanja. Ova kombinacija omogućava napadačima da rekonstruišu aktivne sesije i pristupe nalozima bez potrebe za lozinkom. U praksi, kompromitovan pregledač zaposlenog može otvoriti pristup SaaS platformama, internim sistemima i cloud okruženjima bez aktiviranja klasičnih bezbednosnih alarma.
Storm ide i korak dalje i automatizuje preuzimanje sesija. Nakon dešifrovanja, kredencijali i kolačići se pojavljuju u kontrolnoj tabli napadača. Korišćenjem validnih tokena i geografski uparenih proksija, napadači mogu neprimetno preuzeti aktivne sesije korisnika. Ovakav pristup potvrđuje trend u kojem krađa kolačića sesije postaje važnija od krađe lozinki.
Pored podataka iz pregledača, malver prikuplja i fajlove sa uređaja, podatke iz aplikacija poput Telegrama, Signala i Discorda, informacije o sistemu i snimke ekrana na više monitora. Takođe cilja kripto novčanike putem ekstenzija pregledača i desktop aplikacija. Većina operacija se izvršava u memoriji, što dodatno smanjuje mogućnost detekcije .
Infrastruktura je dizajnirana tako da operateri koriste sopstvene servere, čime se otežava gašenje cijelog sistema.
Storm podržava operacije sa više učesnika, omogućavajući timovima da podele odgovornosti kao što su pristup logovima, generisanje malvera i vraćanje sesija. Takođe automatski kategorizuje ukradene kredencijale prema servisu, sa vidljivim pravilima za platforme uključujući Google, Facebook, Twitter/X i cPanel, pomažući napadačima da daju prioritet ciljevima.
Storm se nudi kao malware-as-a-service model. Za sedmodnevni pristup potrebno je izdvojiti 300 dolara, 900 dolara mjesečno ili 1.800 dolara za timsku licencu koja podržava do 100 operatera i 200 verzija.
Zanimljivo je da nakon implementacije malver nastavlja da radi čak i nakon isteka pretplate.
Storm pokazuje jasan pomak u razvoju infostealera — fokus se prebacuje sa lozinki na sesije i sa lokalne analize na daljinsku obradu podataka. Za napadače, to znači manje detekcije. Za korisnike, to znači da ni lozinke ni MFA više nisu dovoljna zaštita ako su sesije kompromitovane, piše Informacija.
Saznajte sve o najvažnijim vijestima i događajima, pridružite se našoj Viber zajednici ili čitajte na Google News.