网络犯罪分子推出了一款名为“Storm”的新型信息窃取程序。该程序通过将解密过程从受害者设备转移到远程服务器,成功绕过了现代终端安全防护。
该恶意软件于 2026 年初首次出现在地下论坛上,采用订阅模式运营,每月费用不足 1,000 美元。其攻击目标包括浏览器凭据、会话 Cookie 以及加密货币钱包。
与以往尝试使用 SQLite 库在本地解密数据的窃密程序不同,Storm 会将加密文件直接发送到攻击者的基础设施中。这种转变避开了安全工具通常用于检测浏览器凭据库未经授权访问的遥测数据。
自动化会话劫持
Storm 内置了自动化恢复被劫持会话的功能。通过将窃取的 Google 刷新令牌(Refresh Token)与地理位置匹配的 SOCKS5 代理相结合,该恶意软件的控制面板可以伪装成受害者进行静默重新身份验证。
这一功能使攻击者无需通过密码绕过多因素身份验证(MFA),即可访问 SaaS 平台、云环境及企业内部工具。
Varonis Threat Labs 的研究人员指出,这种技术与之前的“Cookie-Bite”攻击如出一辙——在当时的攻击中,被窃取的 Azure Entra ID 会话 Cookie 导致 MFA 失效。然而,Storm 将这种方法产品化,并作为一种订阅服务进行销售。
除了浏览器数据外,该恶意软件还会从用户目录中搜集文档,并从 Telegram、Signal 和 Discord 等即时通讯应用中提取会话数据。此外,它还能截取多显示器上的屏幕截图并获取系统信息。
为了躲避执法部门的追踪,Storm 的运营者利用自己的虚拟专用服务器(VPS)来转发窃取的数据。这确保了任何滥用报告或封禁尝试只会影响到运营者的单个节点,而不会波及中央指令控制服务器。
