- Stormはパスワードと多要素認証をバイパスするセッションハイジャックを可能にする
- 攻撃者は標準的なセキュリティアラートを発動させることなく、盗まれたセッションをリモートで復元できる
- マルウェアはサーバー側で動作して、暗号化されたブラウザ認証情報を処理し、ステルス的な悪用を可能にする
Stormと呼ばれる新しいインフォスティーラーマルウェアの系統は、アカウント侵害の方法を変えており、専門家は警告しています。
Varonis Threat Labsからの新しい調査結果は、この系統がパスワードから離れて、ユーザーをログインさせたままにするセッションクッキーに焦点を当てる方法を詳述しています。
これらのクッキーにより、攻撃者は多要素認証を含むログインステップ全体をバイパスでき、伝統的には保護の第2層として機能します。
記事は以下に続きます
セッションハイジャックがパスワードに取って代わる
セッションが盗まれると、攻撃者は標準的な認証チェックを発動させることなく、正規ユーザーであるかのようにアカウントにアクセスできます。
Stormはブラウザデータ(保存された認証情報、セッションクッキー、自動入力エントリ、認証トークンを含む)を収集し、Firefox、Waterfox、Pale Moonを含むChromiumおよびGeckoベースのブラウザをサーバー側で処理します。これにより、StealC V2のようなライバルよりも広いカバレッジを提供します。
古いツールとは異なり、被害者のデバイス上でこの情報を復号化することを避け、代わりに暗号化されたデータを攻撃者制御のサーバーに送信して処理します。
このアプローチはエンドポイントセキュリティツールの可視性を低減します。これらのツールは通常、ローカルシステムでの疑わしい活動を監視します。
データが処理されると、攻撃者はマルウェアのコントロールパネルに組み込まれたツールを使用してセッションをリモートで復元できます。
盗まれたセッショントークンを被害者の場所に合致するプロキシサーバーと組み合わせることにより、攻撃者はセキュリティシステムから疑いを引き起こさずにログインできます。
Stormはサブスクリプションサービスとして販売されており、データ盗難とアカウントハイジャックの完全なツールキットを提供することによって、サイバー犯罪の参入障壁を低下させます。
価格層は、300ドルの7日間デモ、月額900ドルの標準プラン、および最大100人のオペレーターと200ビルドをサポートする月額1800ドルのチームライセンスを含みます。
サブスクリプションの有効期限が切れた後でも、以前にデプロイされたマルウェアはデータを収集し続け、追加コストなしで継続的な悪用を可能にします。
調査時点で、ログパネルはインド、米国、ブラジル、インドネシア、エクアドル、ベトナム、および他のいくつかの国にまたがる1,715件のエントリを含んでいました。
Google、Facebook、Twitter、Coinbase、Binance、Blockchain.com、Crypto.comにタグ付けされた認証情報は複数のエントリに表示され、このパターンは積極的なキャンペーンが企業アカウントと仮想通貨アカウントの両方を標的としていることを示唆しています。
ログインセッションを超えて、マルウェアはドキュメント、スクリーンショット、メッセージングアプリデータ、および仮想通貨ウォレット情報を収集します。
この機能により、攻撃者はシステム内を横方向に移動し、機密ファイルにアクセスし、攻撃を組織全体に影響する広い侵害にエスカレートさせることができます。
この発展は、かつて高度な攻撃者に関連付けられていた技術がサブスクリプションベースのサービスを通じて広く利用可能になる方法を示しています。
従来のエンドポイント保護のみに依存する組織は懸念されるべきです。
ただし、強力な動作分析とネットワーク監視を備えた組織は、盗まれたセッション復元が必然的に作成する異常なトラフィックパターンを検出するために必要な可視性をすでに持っているかもしれません。
