Otkriven novi Storm infostealer malware

 

Sigurnosni istraživači iz Varonis otkrili su novu varijantu infostealer malvera pod nazivom Storm, koji predstavlja ozbiljnu prijetnju korisnicima širom svijeta. Ovaj zlonamjerni softver prikuplja osjetljive podatke poput korisničkih kredencijala, kolačića sesija i kripto novčanika, a zatim ih šalje na server napadača radi daljnje obrade.

 

Nova taktika izbjegavanja detekcije

 

Za razliku od ranijih infostealer prijetnji, Storm ne pokušava dešifrovati podatke direktno na zaraženom uređaju. Umjesto toga, sve prikupljene informacije šalje na infrastrukturu napadača, čime uspješno izbjegava detekciju sigurnosnih alata.

Prema riječima istraživača Danijela Kelija, ova tehnika predstavlja značajan napredak u razvoju malvera, posebno nakon uvođenja Google Chrome zaštitnog mehanizma poznatog kao App-Bound Encryption, koji otežava lokalno dešifrovanje podataka.

 

Širok spektar meta

 

Storm cilja veliki broj internet preglednika, uključujući one bazirane na Chromium i Gecko platformama, kao što je Mozilla Firefox. Njegova sposobnost krađe kolačića omogućava napadačima da preuzmu aktivne sesije korisnika bez potrebe za unosom lozinke.

 

Koje podatke krade?

 

Malver prikuplja širok spektar osjetljivih informacija, uključujući:

  • Lozinke i session cookies
  • Autofill podatke i istoriju pretrage
  • Google tokene i podatke o platnim karticama
  • Dokumente i sistemske informacije
  • Screenshots sa uređaja
  • Podatke iz aplikacija poput Telegram, Signal i Discord
  • Informacije iz kripto novčanika
  • Napredne funkcije napada

Jedna od najopasnijih funkcija Storma je automatizacija obnove korisničkih sesija. Malver koristi Google Refresh Token zajedno sa geo-aware SOCKS5 proxyjem kako bi neprimjetno ponovo aktivirao prijavljene naloge, bez pokretanja sigurnosnih upozorenja.

 

Globalna prijetnja i crno tržište

 

Istraživači su identifikovali više od 1.700 zapisa povezanih s ovom kampanjom, sa žrtvama širom svijeta. Ukradeni podaci uključuju naloge sa platformi poput Google, Facebook i X, kao i kripto servisa poput Coinbase, Binance i Crypto.com.

Ovakvi podaci često završavaju na ilegalnim online tržištima, gdje se koriste za preuzimanje naloga, finansijske prevare i daljnje sajber napade.

Storm se nudi na sajber kriminalnim forumima po cijeni manjoj od 1.000 dolara mjesečno, što ga čini dostupnim širokom spektru napadača i dodatno povećava rizik za korisnike.

 

Evo kako se možeš zaštititi od infostealer malvera poput Storma

 

1. Koristi jake i jedinstvene lozinke

Nemoj koristiti istu lozinku na više naloga. Ako jedan nalog bude kompromitovan, svi ostali postaju laka meta.
Najbolje rješenje je korištenje password managera.

 

2. Uključi dvofaktorsku autentifikaciju (2FA)

Na servisima poput Google, Facebook ili Binance obavezno uključi 2FA.
Čak i ako neko ukrade lozinku, bez dodatnog koda neće moći pristupiti nalogu.

 

3. Redovno ažuriraj browser i sistem

Preglednici poput Google Chrome i Mozilla Firefox često dobijaju sigurnosne zakrpe.
Ažuriranja zatvaraju ranjivosti koje malware koristi.

 

4. Ne preuzimaj sumnjive fajlove

Storm se najčešće širi kroz:

  • piratski softver
  • “crack” i “keygen” fajlove
  • sumnjive email priloge

Ako nešto izgleda predobro da bi bilo istinito – vjerovatno jeste.

 

5. Pazi na phishing napade

Napadači često šalju lažne emailove koji izgledaju kao da dolaze od poznatih servisa.
Uvijek provjeri:

  • adresu pošiljaoca
  • URL stranice prije logina

 

6. Koristi antivirus i sigurnosne alate

Instaliraj pouzdan antivirus i drži ga ažuriranim. Moderni alati mogu prepoznati i blokirati infostealer prijetnje prije nego što naprave štetu.

 

7. Redovno briši cookies i sesije

Pošto Storm koristi session cookies za pristup bez lozinke:

  • odjavi se sa važnih naloga
  • očisti cookies u browseru
  • koristi “log out from all devices” opciju kada je dostupna

 

8. Zaštiti kripto i finansije

Ako koristiš Coinbase ili Crypto.com:

  • koristi posebnu email adresu samo za kripto
  • uključi dodatne sigurnosne opcije
  • razmisli o hardverskom wallet-u

 

9. Provjeri da li si već kompromitovan

Ako primijetiš:

  • nepoznate prijave
  • promjene lozinke
  • sumnjive transakcije

odmah:

  • promijeni lozinke
  • odjavi sve sesije
  • uključi 2FA