Νέο malware κλέβει κωδικούς και 2FA ακόμα και μέσα από το Chrome

Το νέο infostealer Storm κλέβει κωδικούς, session cookies και κωδικούς 2FA παρακάμπτοντας την κρυπτογράφηση του Chrome και το πουλάνε στο Dark Web!

Ερευνητές της εταιρείας κυβερνοασφάλειας Varonis αποκάλυψαν ένα νέο, εξαιρετικά προηγμένο infostealer με την κωδική ονομασία Storm, που μπορεί να κλέψει αποθηκευμένους κωδικούς, session cookies, δεδομένα αυτόματης συμπλήρωσης, κρυπτογραφικά πορτοφόλια, Google account tokens και κωδικούς διπλής επαλήθευσης — παρακάμπτοντας τους μηχανισμούς ασφαλείας τόσο των browsers όσο και των εργαλείων endpoint security.

Τι κάνει διαφορετικό το Storm σε σχέση με τα συνηθισμένα infostealers

Τα κλασικά infostealers λειτουργούν τοπικά: εγκαθιστούν hacked βιβλιοθήκες SQLite στη συσκευή του θύματος και αποσπούν αποθηκευμένα διαπιστευτήρια από τον browser. Αυτή η μέθοδος είναι ανιχνεύσιμη από τα περισσότερα εργαλεία ασφαλείας. Το Storm αλλάζει ριζικά αυτή τη λογική: αντί να αποκρυπτογραφεί τα δεδομένα στη μολυσμένη συσκευή, τα στέλνει κρυπτογραφημένα σε ιδιωτική υποδομή servers, όπου η αποκρυπτογράφηση γίνεται εξ αποστάσεως.

Το αποτέλεσμα είναι ότι το Storm παραμένει αόρατο σε tools endpoint security, τα οποία είναι σχεδιασμένα να εντοπίζουν τοπικές διεργασίες αποκρυπτογράφησης. Επιπλέον, επειδή τα δεδομένα διοχετεύονται μέσα από servers που ελέγχουν οι επιτιθέμενοι, είναι αποτελεσματικά προστατευμένοι από προσπάθειες takedown.

Πώς παρακάμπτει το App-Bound Encryption της Google

Τον Ιούλιο του 2024, η Google εισήγαγε το App-Bound Encryption στο Chrome 127 — μια τεχνολογία που δένει τα encryption keys με τον ίδιο τον browser, κάνοντας την τοπική αποκρυπτογράφηση σημαντικά δυσκολότερη. Σύμφωνα με τη Varonis, τα πρώτα malware που προσπάθησαν να ξεπεράσουν αυτό το εμπόδιο χρησιμοποιούσαν code injection στο Chrome ή εκμεταλλεύονταν τα debugging protocols του — αφήνοντας ανιχνεύσιμα ίχνη.

Το Storm παρακάμπτει αυτό το σύνολο προστασιών αποφεύγοντας εντελώς τη διαδικασία τοπικής αποκρυπτογράφησης. Η αποκρυπτογράφηση γίνεται server-side, γεγονός που επιτρέπει στους επιτιθέμενους να ανακτήσουν ολοκληρωμένες session cookies και να αποκτήσουν πρόσβαση σε λογαριασμούς χωρίς να χρειαστεί καν ο κωδικός — ακυρώνοντας ουσιαστικά και τον έλεγχο ταυτότητας δύο παραγόντων (2FA).

Ποια δεδομένα συλλέγει — και πόσο κοστίζει

Ο Storm λειτουργεί τόσο σε browsers βασισμένους στο Chromium όσο και σε Gecko-based (Firefox, Pale Moon).

Τα δεδομένα που αποσπά περιλαμβάνουν:

• Αποθηκευμένους κωδικούς και δεδομένα αυτόματης συμπλήρωσης φορμών
• Session cookies και Google account tokens
• Πληροφορίες πιστωτικών καρτών
• Ιστορικό περιήγησης
• Κρυπτογραφικά πορτοφόλια
• Έγγραφα από φακέλους χρήστη και δημοφιλείς εφαρμογές

Σύμφωνα με τη Varonis, το Storm διατίθεται στο Dark Web με $1.000 το μήνα, καθιστώντας το προσβάσιμο σε ένα ευρύ φάσμα επιτιθέμενων. Ήδη έχουν εντοπιστεί πολλαπλές περιπτώσεις χρήσης του σε διάφορες χώρες, με στόχο οικονομικά διαπιστευτήρια, λογαριασμούς social media και crypto assets.

Πώς μπορείς να προστατευτείς

Η Varonis συστήνει μερικά απλά αλλά αποτελεσματικά μέτρα για τον μέσο χρήστη: τακτική διαγραφή των browser cookies (ιδανικά αυτοματοποιημένη), αποφυγή ύποπτων λήψεων και ιστοσελίδων, χρήση password manager (όπως το Bitwarden) και ενημέρωση όλων των εργαλείων ασφαλείας. Τα infostealers αξιοποιούν ολοένα και περισσότερο εργαλεία τεχνητής νοημοσύνης για τη δημιουργία κακόβουλου κώδικα, κάτι που καθιστά τη συνεχή επαγρύπνηση απαραίτητη.

Η άποψή μας στο Techblog

Το Storm είναι μια σαφής υπενθύμιση ότι ακόμα και η ενεργοποίηση του 2FA δεν αποτελεί πανάκεια — αν η ίδια η session κλαπεί, ο επιτιθέμενος μπαίνει στον λογαριασμό χωρίς να χρειάζεται κωδικό ή κωδικό επαλήθευσης. Για όσους αποθηκεύουν κωδικούς στον browser και δεν τους αλλάζουν ποτέ, αυτό είναι σοβαρό. Η χρήση ενός αξιόπιστου password manager και η τακτική εκκαθάριση των cookies κοστίζει μηδέν — και μπορεί να κάνει τη διαφορά.