📰 Informação fresquinha chegando para você!
Leia, comente e fique sempre atualizado!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Um novo infostealer chamado Storm apareceu em redes clandestinas de crimes cibernéticos no início de 2026, representando uma mudança na forma como o roubo de credenciais está se desenvolvendo. Por menos de US$ 1.000 por mês, as operadoras obtêm um ladrão que coleta credenciais de navegador, cookies de sessão e carteiras criptografadas e, em seguida, envia tudo silenciosamente ao servidor do invasor para descriptografia.
Para entender por que as empresas deveriam se preocupar, é útil saber o que mudou. Os ladrões costumavam descriptografar as credenciais do navegador na máquina da vítima, carregando bibliotecas SQLite e acessando diretamente os armazenamentos de credenciais. As ferramentas de segurança de endpoint foram boas em detectar isso, tornando o acesso ao banco de dados do navegador local um dos sinais mais claros de que algo malicioso estava em execução.
Em seguida, o Google introduziu a criptografia vinculada ao aplicativo no Chrome 127 (julho de 2024), que vinculava as chaves de criptografia ao próprio Chrome e tornava a descriptografia local ainda mais difícil. A primeira onda de desvios envolveu a injeção no Chrome ou o abuso de seu protocolo de depuração, mas ainda deixaram rastros que as ferramentas de segurança poderiam detectar.
Os desenvolvedores de ladrões responderam interrompendo completamente a descriptografia local e enviando arquivos criptografados para sua própria infraestrutura, removendo a telemetria da qual a maioria das ferramentas de endpoint depende para detectar roubo de credenciais.
Storm leva essa abordagem ainda mais longe, lidando com navegadores baseados em Chromium e Gecko (Firefox, Waterfox, Pale Moon) no lado do servidor, onde o StealC V2 ainda processa o Firefox localmente.
Os dados coletados incluem tudo o que os invasores precisam para restaurar sessões sequestradas remotamente e roubar de suas vítimas: senhas salvas, cookies de sessão, preenchimento automático, tokens de conta do Google, dados de cartão de crédito e histórico de navegação.
Um navegador de funcionário comprometido pode fornecer a um operador acesso autenticado a plataformas SaaS, ferramentas internas e ambientes de nuvem sem nunca acionar um alerta baseado em senha.
Lista do fórum do Storm
Restauração de cookies e sequestro de sessão
Depois que o Storm descriptografa os dados do navegador, as credenciais roubadas e os cookies de sessão são despejados diretamente no painel do operador. Enquanto a maioria dos ladrões exige que os compradores reproduzam manualmente os registros roubados, o Storm automatiza a próxima etapa.
Alimente um token de atualização do Google e um proxy SOCKS5 geograficamente correspondente, e o painel restaura silenciosamente a sessão autenticada da vítima.
Painel de restauração de cookies com sequestro de sessão concluído
O Varonis Threat Labs já cobriu essa classe de ataque antes. Nossa pesquisa Cookie-Bite demonstrou como os cookies de sessão roubados do Azure Entra ID tornam o MFA irrelevante, proporcionando aos invasores acesso persistente ao Microsoft 365 sem precisar de uma senha.
A análise do SessionShark mostrou como os kits de phishing interceptam tokens de sessão em tempo real para derrotar o Microsoft 365 MFA. A restauração de cookies do Storm é a mesma técnica subjacente, produzida e vendida como um recurso de assinatura.
Apresentando o Interceptador Varonis
AI introduces a new breed of email threats that are more deceptive than ever. Varonis Interceptor é a solução de segurança de e-mail nativa de IA desenvolvida para impedir as ameaças mais sofisticadas da atualidade antes que elas cheguem à sua caixa de entrada.
Assista ao webinar do Interceptor para ver como a Varonis permite resultados de segurança verdadeiramente baseados em IA.
Assista ao Webinar
Arrecadação e infraestrutura
Além das credenciais, o Storm captura documentos de diretórios de usuários, extrai dados de sessões do Telegram, Signal e Discord e tem como alvo carteiras criptografadas por meio de extensões de navegador e aplicativos de desktop. As informações do sistema e as capturas de tela são capturadas em vários monitores. Tudo é executado na memória para reduzir a chance de detecção.
Configuração de compilação com módulos de coleção e regras de captura de arquivos
Do lado da infraestrutura, as operadoras conectam seus próprios servidores virtuais privados (VPS) aos servidores centrais da Storm, encaminhando os dados roubados através da infraestrutura que controlam, em vez de uma plataforma compartilhada. Isso mantém os servidores centrais isolados de tentativas de remoção, porque as autoridades policiais ou os relatórios de abuso atingem primeiro o nó da operadora.
O gerenciamento de equipe oferece suporte a vários funcionários com permissões que abrangem acesso a logs, criação de build e restauração de cookies, de modo que uma única licença Storm pode dar suporte a uma pequena operação cibercriminosa com responsabilidades divididas.
A detecção de domínio rotula automaticamente as credenciais roubadas por serviço, com regras visíveis para Google, Facebook, Twitter/X e cPanel, tornando mais fácil para as operadoras filtrar e priorizar as contas que desejam explorar primeiro.
Regras de detecção de domínio
Campanhas ativas e preços
No momento da investigação, o painel de registos continha 1.715 entradas abrangendo a Índia, os EUA, o Brasil, a Indonésia, o Equador, o Vietname e vários outros países. Se tudo isso representa vítimas reais ou inclui dados de teste, é difícil confirmar apenas com base nas imagens do painel, mas os diversos IPs, ISPs e tamanhos de dados parecem consistentes com as campanhas ativas.
Credenciais marcadas para Google, Fac
Para entender por que as empresas deveriam se preocupar, é útil saber o que mudou. Os ladrões costumavam descriptografar as credenciais do navegador na máquina da vítima, carregando bibliotecas SQLite e acessando diretamente os armazenamentos de credenciais. As ferramentas de segurança de endpoint foram boas em detectar isso, tornando o acesso ao banco de dados do navegador local um dos sinais mais claros de que algo malicioso estava em execução.
Em seguida, o Google introduziu a criptografia vinculada ao aplicativo no Chrome 127 (julho de 2024), que vinculava as chaves de criptografia ao próprio Chrome e tornava a descriptografia local ainda mais difícil. A primeira onda de desvios envolveu a injeção no Chrome ou o abuso de seu protocolo de depuração, mas ainda deixaram rastros que as ferramentas de segurança poderiam detectar.
Os desenvolvedores de ladrões responderam interrompendo completamente a descriptografia local e enviando arquivos criptografados para sua própria infraestrutura, removendo a telemetria da qual a maioria das ferramentas de endpoint depende para detectar roubo de credenciais.
Storm leva essa abordagem ainda mais longe, lidando com navegadores baseados em Chromium e Gecko (Firefox, Waterfox, Pale Moon) no lado do servidor, onde o StealC V2 ainda processa o Firefox localmente.
Os dados coletados incluem tudo o que os invasores precisam para restaurar sessões sequestradas remotamente e roubar de suas vítimas: senhas salvas, cookies de sessão, preenchimento automático, tokens de conta do Google, dados de cartão de crédito e histórico de navegação.
Um navegador de funcionário comprometido pode fornecer a um operador acesso autenticado a plataformas SaaS, ferramentas internas e ambientes de nuvem sem nunca acionar um alerta baseado em senha.
Lista do fórum do Storm
Restauração de cookies e sequestro de sessão
Depois que o Storm descriptografa os dados do navegador, as credenciais roubadas e os cookies de sessão são despejados diretamente no painel do operador. Enquanto a maioria dos ladrões exige que os compradores reproduzam manualmente os registros roubados, o Storm automatiza a próxima etapa.
Alimente um token de atualização do Google e um proxy SOCKS5 geograficamente correspondente, e o painel restaura silenciosamente a sessão autenticada da vítima.
Painel de restauração de cookies com sequestro de sessão concluído
O Varonis Threat Labs já cobriu essa classe de ataque antes. Nossa pesquisa Cookie-Bite demonstrou como os cookies de sessão roubados do Azure Entra ID tornam o MFA irrelevante, proporcionando aos invasores acesso persistente ao Microsoft 365 sem precisar de uma senha.
A análise do SessionShark mostrou como os kits de phishing interceptam tokens de sessão em tempo real para derrotar o Microsoft 365 MFA. A restauração de cookies do Storm é a mesma técnica subjacente, produzida e vendida como um recurso de assinatura.
Apresentando o Interceptador Varonis
AI introduces a new breed of email threats that are more deceptive than ever. Varonis Interceptor é a solução de segurança de e-mail nativa de IA desenvolvida para impedir as ameaças mais sofisticadas da atualidade antes que elas cheguem à sua caixa de entrada.
Assista ao webinar do Interceptor para ver como a Varonis permite resultados de segurança verdadeiramente baseados em IA.
Assista ao Webinar
Arrecadação e infraestrutura
Além das credenciais, o Storm captura documentos de diretórios de usuários, extrai dados de sessões do Telegram, Signal e Discord e tem como alvo carteiras criptografadas por meio de extensões de navegador e aplicativos de desktop. As informações do sistema e as capturas de tela são capturadas em vários monitores. Tudo é executado na memória para reduzir a chance de detecção.
Configuração de compilação com módulos de coleção e regras de captura de arquivos
Do lado da infraestrutura, as operadoras conectam seus próprios servidores virtuais privados (VPS) aos servidores centrais da Storm, encaminhando os dados roubados através da infraestrutura que controlam, em vez de uma plataforma compartilhada. Isso mantém os servidores centrais isolados de tentativas de remoção, porque as autoridades policiais ou os relatórios de abuso atingem primeiro o nó da operadora.
O gerenciamento de equipe oferece suporte a vários funcionários com permissões que abrangem acesso a logs, criação de build e restauração de cookies, de modo que uma única licença Storm pode dar suporte a uma pequena operação cibercriminosa com responsabilidades divididas.
A detecção de domínio rotula automaticamente as credenciais roubadas por serviço, com regras visíveis para Google, Facebook, Twitter/X e cPanel, tornando mais fácil para as operadoras filtrar e priorizar as contas que desejam explorar primeiro.
Regras de detecção de domínio
Campanhas ativas e preços
No momento da investigação, o painel de registos continha 1.715 entradas abrangendo a Índia, os EUA, o Brasil, a Indonésia, o Equador, o Vietname e vários outros países. Se tudo isso representa vítimas reais ou inclui dados de teste, é difícil confirmar apenas com base nas imagens do painel, mas os diversos IPs, ISPs e tamanhos de dados parecem consistentes com as campanhas ativas.
Credenciais marcadas para Google, Fac
#samirnews #samir #news #boletimtec #a #“tempestade” #silenciosa: #novo #infostealer #sequestra #sessões #e #descriptografa #o #lado #do #servidor
🚀 Mais conteúdos incríveis estão por vir, fique atento!
Postar um comentário