Пријави инцидент
Пријави инцидент
Преглед на приватноста

Оваа веб-страница користи колачиња за да ви обезбеди најдобро можно корисничко искуство. Информациите за колачињата се складираат во вашиот прелистувач и извршуваат функции како препознавање кога се враќате на нашата веб-страница и им помагаат на нашите програмери да разберат кои делови од веб-страницата ви се најинтересни и најкорисни.

Строго неопходни колачиња

Строго неопходните колачиња треба да бидат овозможени во секое време за да можеме да ги зачуваме вашите поставки за колачиња.

Powered by  GDPR Cookie Compliance

Тивкиот „Storm“: Нов сајбер-крадец на податоци ги компромитира сесиите преку сервер

Објавено: 14.04.2026

Нов infostealer наречен Storm се појави на подземните сајбер-криминални мрежи на почетокот на 2026 година, претставувајќи промена во начинот на кој се развива кражбата на акредитиви. За помалку од 1.000 долари месечно, операторите добиваат алатка што собира податоци од прелистувачи, колачиња за сесии и крипто-паричници, а потоа тивко ги испраќа до серверот на напаѓачот за дешифрирање.

За да се разбере зошто ова е важно за организациите, треба да се знае што се променило. Претходно, ваквите алатки ги дешифрираа акредитивите директно на машината на жртвата преку вчитување SQLite библиотеки и пристап до локалните складишта на податоци. Безбедносните алатки на уредите (endpoint security) станаа многу добри во откривање на ова, па пристапот до локалните бази на прелистувачите стана јасен индикатор за злонамерна активност.

Потоа Google воведе App-Bound Encryption во Chrome 127 (јули 2024), со што клучевите за енкрипција се врзани за самиот прелистувач, што го отежна локалното дешифрирање. Првите обиди за заобиколување вклучуваа инјектирање во Chrome или злоупотреба на неговиот debugging протокол, но тие сепак оставаа траги што безбедносните алатки можеа да ги детектираат.

Како одговор, развивачите на вакви малвери престанаа со локално дешифрирање и наместо тоа почнаа да ги испраќаат енкриптираните податоци до сопствена инфраструктура, со што се отстрануваат телеметриските сигнали на кои се потпираат алатките за откривање.

Storm оди чекор понатаму, обработувајќи податоци и од Chromium-базирани и од Gecko-базирани прелистувачи (како Firefox, Waterfox и Pale Moon) на серверска страна, додека StealC V2 сè уште ги обработува Firefox податоците локално.

Собраните податоци вклучуваат сè што им е потребно на напаѓачите за да ги обноват киднапираните сесии и да ги злоупотребат жртвите: зачувани лозинки, колачиња за сесии, autofill податоци, Google токени, податоци за кредитни картички и историја на прелистување.

Еден компромитиран прелистувач на вработен може да му овозможи на напаѓачот веќе автентициран пристап до SaaS платформи, интерни алатки и cloud околини – без воопшто да се активира аларм поврзан со лозинки.

Storm – форумска понуда

Обнова на колачиња и киднапирање сесии

Откако Storm ќе ги дешифрира податоците од прелистувачот, украдените акредитиви и колачиња за сесии директно се прикажуваат во контролниот панел на операторот. Додека кај повеќето вакви алатки купувачите мора рачно да ги користат украдените податоци, Storm го автоматизира следниот чекор.

Доволно е да се внесе Google Refresh Token и географски соодветен SOCKS5 прокси, по што панелот тивко ја обновува веќе автентицираната сесија на жртвата.

Панел за обнова на колачиња со успешно преземена сесија

Varonis Threat Labs претходно го анализираше овој тип на напад. Нивното истражување Cookie-Bite покажа дека украдените колачиња за сесии од Azure Entra ID го прават MFA (повеќефакторска автентикација) практично неефикасен, овозможувајќи им на напаѓачите постојан пристап до Microsoft 365 без воопшто да им е потребна лозинка.

Анализата SessionShark покажа како phishing алатките пресретнуваат токени за сесии во реално време за да ја заобиколат MFA за Microsoft 365. Функцијата за обнова на колачиња кај Storm ја користи истата основна техника, но претворена во производ што се продава како претплатничка услуга.

Собирање податоци и инфраструктура

Покрај акредитивите, Storm:

  • Презема документи од кориснички директориуми
  • Извлекува податоци за сесии од Telegram, Signal и Discord
  • Таргетира крипто-паричници преку екстензии во прелистувач и десктоп апликации
  • Собира системски информации
  • Прави снимки од екранот на повеќе монитори

Сето ова се извршува во меморија (in-memory), со цел да се намали можноста за детекција од безбедносните алатки.

Конфигурација за билд со модули за собирање податоци и правила за преземање датотеки

Од аспект на инфраструктурата, операторите ги поврзуваат своите сопствени виртуелни приватни сервери (VPS) со централните сервери на Storm, пренасочувајќи ги украдените податоци преку инфраструктура што тие ја контролираат, наместо преку заедничка платформа. Ова ги штити централните сервери од обиди за гасење (takedown), бидејќи истрагите или пријавите прво стигнуваат до серверот на самиот оператор.

Управувањето со тим овозможува повеќе корисници (оператори) со различни дозволи, вклучувајќи пристап до логови, креирање билдови и обнова на колачиња. На тој начин, една Storm лиценца може да поддржи мала сајбер-криминална група со поделени улоги и одговорности.

Детекцијата на домени автоматски ги означува украдените акредитиви според услугата, со правила за платформи како Google, Facebook, Twitter/X и cPanel. Ова им овозможува на операторите лесно да ги филтрираат и приоритизираат сметките што сакаат прво да ги злоупотребат.

Правила за детекција на домени

Активни кампањи и цени

Во моментот на истражувањето, панелот со логови содржел 1.715 записи од земји како Индија, САД, Бразил, Индонезија, Еквадор, Виетнам и други. Тешко е со сигурност да се утврди дали сите записи претставуваат реални жртви или дел од нив се тест податоци, но разновидноста на IP адреси, интернет провајдери (ISP) и големини на податоци укажува на активни кампањи.

Акредитиви означени за сервиси како Google, Facebook, Twitter/X, Coinbase, Binance, Blockchain.com и Crypto.com се појавуваат во повеќе записи — тип на податоци што обично завршуваат на пазари за украдени акредитиви, кои се користат за преземање на сметки (account takeover), измами и почетен пристап за понатамошни, понасочени напади.

Панел со логови на Storm
Лог записи со погодоци кон криптовалутни берзи

Storm се продава преку претплатнички модел со повеќе нивоа: 300 долари за 7-дневна демо верзија, 900 долари месечно за стандарден план, и 1.800 долари месечно за тимска лиценца со 100 операторски места и 200 билдови. Дополнително, потребен е и „crypter“ како посебна алатка.

Билдовите продолжуваат да работат и по истекот на претплатата, што значи дека веќе распоредениот stealer продолжува да собира податоци независно од статусот на лиценцата на операторот.

Различни цени и пакети

Детекција на украдени сесии

Storm е во согласност со пошироката промена на пазарот на stealer малвери. Дешифрирањето на серверска страна им овозможува на напаѓачите да ги избегнат безбедносните алатки на endpoint уредите кои се дизајнирани да детектираат класично локално дешифрирање. Во исто време, кражбата на колачиња за сесии сè повеќе ја заменува кражбата на лозинки како примарна цел.

Акредитивите и сесиите што ги собираат алатки како Storm се само почетната фаза на понатамошни напади: најави од непознати локации, странично движење во мрежата (lateral movement) и пристап до податоци што отстапуваат од нормалните кориснички обрасци.

Индикатори на компромитација (Indicators of Compromise)

  • Форумски псевдоним: StormStealer
  • Форум ID: 221756
  • Датум на регистрација: 12/12/25
  • Тековна верзија: v0.0.2.0 (Gunnar)
  • Карактеристики на билд: C++ (MSVC/msbuild), ~460 KB, само Windows

Извори:

  • Bleeping Computer – The silent “Storm”: New infostealer hijacks sessions, decrypts server-side Bleeping Computer