Az új módszer: már nem a gépen fejtenek vissza
Korábban az ilyen szoftverek helyben, a felhasználó gépén fejtették vissza az elmentett jelszavakat: SQLite-mentéseket használtak, és közvetlenül a böngésző adatbázisához fértek hozzá. A védelmi programok azonban ráálltak erre, így ez a módszer már túl átlátszó lett. A Google 2024-ben, a Chrome 127-ben bevezette az alkalmazáshoz kötött titkosítást, ami szinte lehetetlenné tette a helyi visszafejtést.
Első körben a hackerek a Chrome-ba injektáltak, vagy a böngésző hibakeresési protokollját használták ki, de ezeket is észlelték a védelmi eszközök. Ezután teljesen leálltak a helyi visszafejtéssel: inkább magát a titkosított adatot töltik fel saját szerverükre, ahol minden esemény a támadó infrastruktúrájában zajlik.
Minden részlet számít: mi mindenhez férhet hozzá a támadó?
A Storm már nemcsak Chromium-alapú, hanem Gecko-motoros böngészőkből (például Firefox, Waterfox) is gyűjt. Egyúttal az összes fontos böngészőadatot elviszi: elmentett jelszavak, session cookie-k, az automatikus kitöltés adatai, Google-fiók tokenjei, bankkártyaadatok, böngészési előzmények – minden, ami egy teljes fiókátvételhez kell.
Így elég, ha egyetlen alkalmazott böngészője kompromittálódik: a támadó azonnal bejuthat vállalati SaaS-környezetekbe, belső eszközökbe, anélkül, hogy jelszóriasztást váltana ki.
Automatizált belépések és a session-eltérítés
A Storm panelje a visszafejtett adatokat automatikusan kezeli. Csak be kell írni a megszerzett Google refresh tokent és egy megfelelő, „földrajzilag illeszkedő” SOCKS5-proxyt, a panel pedig bármiféle interakció nélkül állít helyre hitelesített munkamenetet – nincs szükség a logok kézi felhasználására.
Ez a módszer elavulttá teszi az MFA-t (többlépcsős hitelesítés) is, hiszen a sessionök visszaállításával a támadó jelszó vagy kód nélkül jut tartós hozzáféréshez akár Microsoft 365-rendszerekhez.
Minden mozdulat emlék – extra funkciók és infrastruktúra
A Storm nemcsak böngészős vagy felhős hitelesítő adatokat lop: képes dokumentumokat összegyűjteni, Telegram-, Signal- és Discord-sessionadatokat kiszedni, sőt, többféle kriptatárcára is rámegy – akár böngészőbővítmények, akár asztali alkalmazások révén. Képernyőmentésekkel és rendszerinformációkkal is bővíti a zsákmányt. Mindez a memóriában történik, hogy ne bukjon le.
A támadók saját VPS-t csatlakoztatnak a Storm központjához, így az adatokat közvetlenül a saját szerverükre kapják, elkerülve a központi rendszer teljes lebukását. Egy licenc több „felhasználót” is kezel, így egy komplett bűnbanda használhat egy példányt.
Az automatizált címkézésnek hála a panel azonnal felismeri, mely bejelentkezések mely szolgáltatásokhoz tartoznak (Google, Facebook, Twitter/X, cPanel), így a legfontosabb célpontokat azonnal kiszűrik.
A támadások valósága és a piac
Jelenleg a Storm logpanelén 1 715 kompromittált bejelentkezés található: Indiából, az USA-ból, Brazíliából, Indonéziából, Ecuadorból, Vietnámból és más országokból. Bár nem mindegyikről tudni, hogy valódi áldozat-e, a sokféle IP és adatméret aktív támadásokra utal. Az ellopott belépési adatok gyakran köthetők Google-, Facebook-, Twitter/X-, Coinbase-, Binance-, Blockchain.com- vagy Crypto.com-fiókokhoz – ezek ideálisak számlalopáshoz, csaláshoz vagy további támadásokhoz.
Az árak: 110 000 forint a 7 napos próba, 330 000 forint a havi előfizetés, 660 000 forint egy „csapatlicenc” (100 operátor, 200 build), de a kártevőtitkosító modul külön költség. Az egyszer lefuttatott példányok az előfizetés lejárta után is adatot gyűjtenek.
Felismerés és jövő
A Storm jó példája annak, hová tart a piac: a jelszólopás szerepét lassan teljesen átveszi a sessioncookie-eltérítés. A megszerzett identitások a későbbi támadások alapjait képezik: szokatlan belépések, oldalirányú mozgás és adatszivárgás.
Főbb kompromittálási jelek: StormStealer fórumazonosító, C++ (MSVC/MSBuild) build, Windows, közel 460 kB méret.
A részletekben rejlik a veszély – az ilyen támadások ellen csak az előre gondolkodó védelem segít.
