Angebot für Mehrfachlizenz-Rabatt
Bedrohungsdatenbank Malware Storm Stealer

Storm Stealer

Von Mezo in Malware, Diebe
Übersetzen Sie in:

Cybersicherheitsforscher haben eine ausgeklügelte neue Bedrohung bestätigt, die es auf Nutzer von Google Chrome, Microsoft Edge und Mozilla Firefox abgesehen hat. Dieser hochentwickelte Infostealer, bekannt als Storm, fungiert als multifunktionale Angriffsplattform und kombiniert Passwortdiebstahl, das Ausspähen von Session-Cookies zur Umgehung der Zwei-Faktor-Authentifizierung und das Sammeln von Zahlungskartendaten in einem einzigen Schadprogramm.

Storm wird als mietbares Toolkit angeboten und senkt damit die Einstiegshürde für Cyberkriminelle erheblich, während gleichzeitig mehr als eine Milliarde Browsernutzer einem potenziellen Risiko ausgesetzt sind.

Inside Storm: Ein stiller und raffinierter Infostealer

Storm ist so konzipiert, dass es unentdeckt bleibt und gleichzeitig die Datenextraktion maximiert. Es umgeht Endpoint-Sicherheitstools, entschlüsselt Browser-Anmeldeinformationen aus der Ferne und ermöglicht Angreifern die Wiederherstellung übernommener Sitzungen, ohne Alarm auszulösen.

Im Gegensatz zu herkömmlicher Malware, die auf lokale Entschlüsselungstechniken setzte, arbeitet Storm mit einer Stealth-Architektur. Es exfiltriert unbemerkt sensible Browserdaten, darunter Anmeldeinformationen, Session-Cookies und Informationen zu Kryptowährungs-Wallets, an vom Angreifer kontrollierte Server, wo die Entschlüsselung außerhalb des infizierten Systems erfolgt. Dieser Remote-Ansatz ermöglicht es, moderne Sicherheitsvorkehrungen zu umgehen.

Die Entwicklung von Techniken zum Diebstahl von Zugangsdaten

Die Methoden zum Diebstahl von Zugangsdaten haben sich grundlegend verändert. Früher extrahierten und entschlüsselten Angreifer Daten direkt auf den Geräten der Opfer, indem sie SQLite-Bibliotheken nutzten, um auf die Anmeldedatenspeicher der Browser zuzugreifen. Mit der Verbesserung der Sicherheitslösungen wurde es jedoch einfacher, solche Aktivitäten zu erkennen.

Die Einführung der App-gebundenen Verschlüsselung durch Google im Jahr 2024, beginnend mit Chrome 127, erschwerte diese Angriffe zusätzlich, indem die Verschlüsselungsschlüssel an den Browser selbst gebunden wurden. Selbst wenn Angreifer versuchten, Browser-Debugging-Protokolle auszunutzen oder Schadcode einzuschleusen, konnten Sicherheitssysteme verdächtiges Verhalten häufig erkennen.

Storm stellt den nächsten Schritt in dieser Entwicklung dar, indem es die lokale Entschlüsselung vollständig aufgibt und die Operationen auf eine vom Angreifer kontrollierte Infrastruktur verlagert, wodurch die auf dem Rechner des Opfers erkennbaren Spuren minimiert werden.

Serverseitige Entschlüsselung und browserübergreifende Reichweite

Storm geht über frühere Infostealer hinaus, indem es die Entschlüsselung vollständig auf entfernten Servern übernimmt. Es unterstützt sowohl Chromium-basierte als auch Gecko-basierte Browser und ist daher in verschiedenen Umgebungen äußerst vielseitig einsetzbar.

Sobald die gestohlenen Daten entschlüsselt sind, werden sie an ein zentrales Bedienfeld übermittelt, das von Cyberkriminellen genutzt wird. Dieses Bedienfeld automatisiert die Ausnutzungsphase und ermöglicht es Angreifern, kompromittierte Daten effizient und in großem Umfang zu verwenden.

Automatisierte Sitzungsübernahme und Unternehmensrisiko

Eine besonders gefährliche Funktion von Storm ist die Möglichkeit, authentifizierte Sitzungen wiederherzustellen. Durch die Bereitstellung eines Google-Refresh-Tokens zusammen mit einem geografisch passenden SOCKS5-Proxy können Angreifer die aktive Sitzung eines Opfers unbemerkt wiederherstellen, ohne Authentifizierungsabfragen auszulösen.

Diese Fähigkeit hat schwerwiegende Konsequenzen:

  • Unternehmensumgebungen können durch einen einzigen kompromittierten Browser angreifbar werden, wodurch Zugriff auf SaaS-Plattformen, interne Systeme und Cloud-Infrastrukturen ermöglicht wird.
  • Einzelne Nutzer sind Kontoübernahmen, Finanzbetrug und weiteren gezielten Angriffen ausgesetzt, ohne dass sie die Zwei-Faktor-Authentifizierung direkt umgehen müssen.

Die Wiederverwendung bereits authentifizierter Sitzungen setzt die herkömmlichen Anmeldeschutzmechanismen praktisch außer Kraft.

Kostengünstige, wirkungsvolle Cyberkriminalitäts-als-Dienstleistung

Storm ist für Cyberkriminelle bereits ab 1.000 US-Dollar pro Monat erhältlich und somit ein leicht zugängliches, aber dennoch leistungsstarkes Werkzeug. Diese Erschwinglichkeit beschleunigt die Verbreitung fortschrittlicher Angriffsfähigkeiten und ermöglicht es auch weniger versierten Angreifern, hochwirksame Kampagnen durchzuführen.

Die Kombination aus niedrigen Kosten, Heimlichkeit und Automatisierung markiert einen bedeutenden Wandel hin zu skalierbaren, serviceorientierten Cyberkriminalitätsoperationen.

Schutzmaßnahmen: Verringerung der Gefährdung durch Stürme

Sicherheitsexperten betonen die Wichtigkeit der Stärkung alltäglicher Cybersicherheitspraktiken, um die Risiken durch Bedrohungen wie Storm zu mindern:

  • Vermeiden Sie es, Software aus nicht vertrauenswürdigen oder inoffiziellen Quellen herunterzuladen.
  • Seien Sie wachsam gegenüber Phishing und anderen Social-Engineering-Taktiken.
  • Verwenden Sie für jedes Konto und jeden Dienst ein eigenes Passwort.
  • Aktivieren Sie nach Möglichkeit die Zwei-Faktor-Authentifizierung und verwenden Sie Passkeys, sofern diese unterstützt werden.

Obwohl keine einzelne Maßnahme einen vollständigen Schutz garantiert, verringert ein mehrschichtiges Sicherheitssystem die Wahrscheinlichkeit eines Sicherheitsvorfalls erheblich.

Im Trend

Am häufigsten gesehen

Wird geladen...