- يتيح Storm إمكانية اختطاف الجلسة التي تتجاوز كلمات المرور والمصادقة متعددة العوامل
- يمكن للمهاجمين استعادة الجلسات المسروقة عن بعد دون إطلاق تنبيهات أمنية قياسية
- تعمل البرامج الضارة من جانب الخادم لمعالجة بيانات اعتماد المتصفح المشفرة للاستغلال الخفي
حذر الخبراء من أن سلالة جديدة من البرمجيات الخبيثة لسرقة المعلومات، يطلق عليها اسم Storm، تعمل على تغيير كيفية عمل اختراق الحساب.
أوضحت النتائج الجديدة التي توصلت إليها Varonis Threat Labs كيف تبتعد هذه السلالة عن كلمات المرور وتركز على ملفات تعريف الارتباط للجلسة التي تحافظ على تسجيل دخول المستخدمين.
تسمح ملفات تعريف الارتباط هذه للمهاجمين بتجاوز خطوات تسجيل الدخول بالكامل، بما في ذلك المصادقة متعددة العوامل، والتي تعمل تقليديًا كطبقة ثانية من الحماية.
يستمر المقال أدناه
يؤدي اختطاف الجلسة إلى استبدال كلمات المرور
بمجرد سرقة الجلسة، يمكن للمهاجم الوصول إلى الحسابات كما لو كان المستخدم الشرعي دون إجراء عمليات التحقق من المصادقة القياسية.
تجمع Storm بيانات المتصفح، بما في ذلك بيانات الاعتماد المحفوظة وملفات تعريف الارتباط للجلسة وإدخالات الملء التلقائي ورموز المصادقة المميزة، وتتعامل مع كل من المتصفحات المستندة إلى Chromium وGecko على جانب الخادم، بما في ذلك Firefox وWaterfox وPale Moon، مما يمنحها تغطية أوسع من المنافسين مثل StealC V2.
وعلى عكس الأدوات القديمة، فهو يتجنب فك تشفير هذه المعلومات على جهاز الضحية ويرسل بدلاً من ذلك البيانات المشفرة إلى الخوادم التي يتحكم فيها المهاجم لمعالجتها.
يقلل هذا الأسلوب من إمكانية رؤية أدوات أمان نقطة النهاية، والتي عادةً ما تراقب الأنشطة المشبوهة على الأنظمة المحلية.
وبمجرد معالجة البيانات، يمكن للمهاجمين استعادة الجلسات عن بعد باستخدام الأدوات المضمنة في لوحة تحكم البرامج الضارة.
من خلال الجمع بين رموز الجلسة المسروقة والخوادم الوكيلة التي تطابق موقع الضحية، يمكن للمهاجمين تسجيل الدخول دون إثارة الشكوك من أنظمة الأمان.
يتم بيع Storm كخدمة اشتراك، مما يقلل من حاجز الدخول إلى الجرائم الإلكترونية من خلال تقديم مجموعة أدوات كاملة لسرقة البيانات واختطاف الحسابات.
تتضمن مستويات التسعير عرضًا تجريبيًا مدته سبعة أيام بقيمة 300 دولار أمريكي، وخطة قياسية بقيمة 900 دولار أمريكي شهريًا، وترخيص فريق بقيمة 1800 دولار أمريكي شهريًا يدعم ما يصل إلى 100 مشغل و200 تصميم.
وحتى بعد انتهاء صلاحية الاشتراك، تستمر البرامج الضارة التي تم نشرها مسبقًا في جمع البيانات، مما يسمح بالاستغلال المستمر دون تكلفة إضافية.
في وقت التحقيق، كانت لوحة السجلات تحتوي على 1715 إدخالًا تشمل الهند والولايات المتحدة والبرازيل وإندونيسيا والإكوادور وفيتنام والعديد من البلدان الأخرى.
تظهر بيانات الاعتماد الموسومة بـ Google وFacebook وTwitter وCoinbase وBinance وBlockchain.com وCrypto.com عبر إدخالات متعددة، وهو نمط يشير إلى أن الحملات النشطة تستهدف حسابات الشركات والعملات المشفرة.
وبعيدًا عن جلسات تسجيل الدخول، تقوم البرامج الضارة بجمع المستندات ولقطات الشاشة وبيانات تطبيق المراسلة ومعلومات محفظة العملة المشفرة.
تسمح هذه الإمكانية للمهاجمين بالتحرك أفقيًا داخل الأنظمة، والوصول إلى الملفات الحساسة، وربما تصعيد الهجمات إلى تسويات أوسع تؤثر على المؤسسات بأكملها.
يوضح هذا التطور كيف أن التقنيات التي كانت مرتبطة سابقًا بالمهاجمين المتقدمين أصبحت متاحة على نطاق واسع من خلال الخدمات القائمة على الاشتراك.
يجب أن تشعر المنظمات التي تعتمد فقط على حماية نقطة النهاية التقليدية بالقلق.
ومع ذلك، قد تتمتع المؤسسات التي تتمتع بتحليلات سلوكية قوية ومراقبة للشبكة بالفعل بالرؤية اللازمة لاكتشاف أنماط حركة المرور غير العادية التي تؤدي حتماً إلى إنشاء استعادة الجلسة المسروقة.
اتبع TechRadar على أخبار جوجل و أضفنا كمصدر مفضل للحصول على أخبار الخبراء والمراجعات والآراء في خلاصاتك. تأكد من النقر على زر المتابعة!
وبالطبع يمكنك أيضًا اتبع TechRadar على TikTok للحصول على الأخبار والمراجعات وفتح الصناديق في شكل فيديو، والحصول على تحديثات منتظمة منا على واتساب أيضاً.
التعليقات