- Storm permite el secuestro de sesiones que evita las contraseñas y la autenticación multifactor
- Los atacantes pueden recuperar sesiones robadas de forma remota sin activar advertencias de seguridad estándar
- El malware maneja el procesamiento del lado del servidor de las credenciales cifradas del navegador para realizar ataques sigilosos.
Los expertos advierten que una nueva cepa de malware denominada Storm está cambiando la forma en que funciona la vulneración de cuentas.
Los nuevos hallazgos de Varonis Threat Labs describen cómo esta cepa se aleja de las contraseñas y se centra en las cookies de sesión que mantienen a los usuarios conectados.
Estas cookies permiten a los atacantes eludir por completo los pasos de inicio de sesión, incluida la autenticación multifactor, que tradicionalmente sirve como una segunda capa de protección.
El artículo continúa a continuación.
Reemplazo de contraseña de secuestro de sesión
Una vez que se roba una sesión, un atacante puede acceder a las cuentas como si fueran usuarios legítimos sin activar comprobaciones de autenticación estándar.
Storm recopila datos del navegador, incluidas credenciales almacenadas, cookies de sesión, entradas de autocompletar y tokens de autenticación, y maneja navegadores basados en Chromium y Gecko en el lado del servidor, incluidos Firefox, Waterfox y Pale Moon, lo que le brinda una cobertura más amplia que rivales como StealC V2.
A diferencia de las herramientas más antiguas, evita descifrar esta información en el dispositivo de la víctima y, en cambio, envía los datos cifrados a servidores controlados por el atacante para su procesamiento.
Este enfoque reduce la visibilidad de las herramientas de seguridad de endpoints, que normalmente monitorean actividades sospechosas en el sistema local.
Una vez que se procesan los datos, los atacantes pueden recuperar sesiones de forma remota utilizando herramientas integradas en el panel de control del malware.
Al combinar tokens de sesión robados con servidores proxy que coinciden con la ubicación de la víctima, los atacantes pueden iniciar sesión sin que el sistema de seguridad lo sospeche.
Storm se vende como un servicio de suscripción, lo que reduce la barrera de entrada del cibercrimen al ofrecer un completo conjunto de herramientas para el robo de datos y el secuestro de cuentas.
Los niveles de precios incluyen una demostración de siete días de $300, un plan estándar de $900 por mes y una licencia de equipo de $1,800 por mes que admite 100 operadores y 200 compilaciones.
Incluso después de que expire una suscripción, el malware previamente implementado continúa recopilando datos, lo que permite una explotación continua sin costos adicionales.
En el momento de la investigación, el panel de registros contenía 1.715 entradas en India, Estados Unidos, Brasil, Indonesia, Ecuador, Vietnam y varios otros países.
Las credenciales etiquetadas en Google, Facebook, Twitter, Coinbase, Binance, Blockchain.com y Crypto.com aparecen en múltiples entradas, un patrón que sugiere que las campañas activas se dirigen tanto a cuentas corporativas como a cuentas de criptomonedas.
Fuera de las sesiones de inicio de sesión, el malware recopila documentos, capturas de pantalla, datos de aplicaciones de mensajería e información de billeteras de criptomonedas.
Esta capacidad permite a los atacantes moverse lateralmente dentro de los sistemas, acceder a archivos confidenciales y potencialmente escalar ataques a compromisos más amplios que afectan a organizaciones enteras.
Este desarrollo muestra cómo las técnicas que alguna vez estuvieron asociadas con atacantes avanzados se están volviendo ampliamente accesibles a través de servicios basados en suscripción.
Las organizaciones que dependen únicamente de la protección tradicional de terminales deberían preocuparse.
Sin embargo, es posible que las organizaciones con análisis de comportamiento y monitoreo de red sólidos ya tengan la visibilidad necesaria para identificar los patrones de tráfico inusuales que hacen inevitable la recuperación de sesiones robadas.
Siga TechRadar en Google News Y Agréguenos como fuente preferida Recibe noticias, reseñas y opiniones de nuestros expertos en tu feed. ¡No olvides hacer clic en el botón de seguir!
Y por supuesto que puedes Siga TechRadar en TikTok Reciba nuestras actualizaciones periódicas en forma de noticias, reseñas, unboxing y videos. WhatsApp muy
