Storm infostealer

2026年初頭、地下のサイバー犯罪ネットワークにStormと呼ばれる新たな情報窃盗犯が出現し、クレデンシャル窃盗の発展方法の変化を表している。毎月1,000ドル以下で、ブラウザの認証情報、セッション・クッキー、暗号ウォレットを収集し、復号化のために攻撃者のサーバーにすべてを静かに送信するスティラーを手に入れることができる。

企業が注意を払うべき理由を理解するには、何が変わったのかを知ることが役立ちます。窃盗犯は以前、SQLiteライブラリをロードし、クレデンシャル・ストアに直接アクセスすることで、被害者のマシン上でブラウザのクレデンシャルを解読していました。エンドポイント・セキュリティー・ツールはこれを検知するのがうまくなり、ローカル・ブラウザー・データベースへのアクセスは、悪意のある何かが実行されていることを示す最も明確なサインのひとつとなった。

そしてグーグルはChrome 127(2024年7月)でApp-Bound Encryptionを導入し、暗号化キーをChrome自体に結びつけ、ローカルでの復号化をさらに難しくした。最初のバイパスには、Chromeへのインジェクションやデバッグ・プロトコルの悪用が使われたが、それでもセキュリティ・ツールが検出できる痕跡は残った。

ステーラー開発者は、ローカルでの復号化を完全に停止し、代わりに暗号化されたファイルを自身のインフラに送信することで、ほとんどのエンドポイントツールがクレデンシャル盗難を検知するために依存しているテレメトリを削除することで対応した。

Stormはこのアプローチをさらに進め、ChromiumとGeckoベースのブラウザ(Firefox、Waterfox、Pale Moon)の両方をサーバーサイドで処理する。

収集されたデータには、攻撃者がハイジャックされたセッションをリモートで復元し、被害者から盗み出すために必要なもの(保存されたパスワード、セッションクッキー、オートフィル、Googleアカウントトークン、クレジットカードデータ、閲覧履歴)がすべて含まれています。

侵害された従業員のブラウザ1つで、オペレータはパスワードベースのアラートをトリガーすることなく、SaaSプラットフォーム、社内ツール、クラウド環境への認証されたアクセスを渡すことができます。

Storm's forum listing.
ストームのフォーラム一覧

Stormがブラウザ・データを解読すると、盗まれた認証情報とセッション・クッキーがオペレータのパネルに直接ダンプされます。ほとんどの窃盗犯が、盗んだログを手動で再生することを購入者に要求するのに対し、Stormは次のステップを自動化します。

Google Refresh Tokenと地理的に一致したSOCKS5プロキシを送り込むと、パネルは被害者の認証されたセッションを静かに復元します。

Cookie restore panel with a completed session hijack
セッションハイジャックが完了したクッキー復元パネル

Varonis Threat Labs は以前にもこの種の攻撃を取り上げたことがあります。当社のCookie-Bite研究では、盗まれたAzure Entra IDのセッションCookieがMFAを無意味にし、攻撃者がパスワードを必要とせずにMicrosoft 365に持続的にアクセスできるようにする方法を示しました。

SessionSharkの分析では、フィッシングキットがどのようにリアルタイムでセッショントークンを傍受し、Microsoft 365のMFAを破るかを示しました。StormのCookieリストアは、製品化され、サブスクリプション機能として販売されている、同じ根本的なテクニックです。

a.fl_button { background-color:a.fl_button { background-color: #5177b6; border:a.fl_button { background-color: #5177b6; border: 1px solid #3b59aa; color:#text-align: center; text-decoration: none; border-radius: 8px; display: inline-block; font-size: 16px; font-weight: bold; margin:4px 2px; cursor: pointer; padding:12px 28px; } .fl_ad { background-color:#width: 95%; margin: 15px auto 15px auto; border-radius: 8px; border:1px solid #d6ddee; box-shadow: 2px 2px #728cb8; min-height: 200px; display: flex; align-items: center; } .fl_lef>a>img { margin-top: 0px !important; } .fl_rig>p { font-size: 16px; } .grad-text { background-image: linear-gradient(45deg, var(–dawn-red), var(–iris)54%, var(–aqua)); -webkit-text-fill-color: transparent; -webkit-background-clip: text; background-clip: text; } .fl_rig h2 { font-size: 18px!important; font-weight: 700; color:color: #333; line-height: 24px; font-family:font-family: Georgia, times new roman, Times, serif; display: block; text-align: left; margin-top: 0; } .fl_lef { display: inline-block; min-height: 150px; width: 25%; padding:10px 0 10px 10px; } .fl_rig { padding:10px; display: inline-block; min-height: 150px; width: 100%; vertical-align: top; } .fl_lef>a>img { border-radius: 8px; } .cz-news-title-right-area ul { padding-left: 0px; } @media screen and (max-width: 1200px) { .fl_ad { min-height: 184px; } .fl_rig>p { margin: 10p10px; } .fl_rig { padding:0 10px 10px 10px; width: 100%; } } @media screen and (max-width: 400px) { .cz-story-navigation ul li:first-child { padding-left: 6px; } .cz-story-navigation ul li:last-child { padding-right: 6px; } } }.

バロニスインターセプターのご紹介

AIは、これまで以上に人を欺く新種の電子メールの脅威をもたらします。Varonis Interceptorは、今日の最も巧妙な脅威を受信トレイに到達する前に阻止するために構築されたAIネイティブのメールセキュリティソリューションです。

Interceptorのウェビナーで、VaronisがどのようにAIを活用した真のセキュリティ成果を実現しているかをご覧ください。

ウェビナーを見る

収集とインフラストラクチャ

認証情報だけでなく、Stormはユーザーディレクトリからドキュメントを取得し、Telegram、Signal、Discordからセッションデータを取得し、ブラウザ拡張機能とデスクトップアプリの両方を通じて暗号ウォレットをターゲットにします。システム情報とスクリーンショットは、複数のモニターにわたってキャプチャされる。すべてがメモリ内で実行されるため、検知される可能性が低くなります。

Build configuration with collection modules and file grabber rules.
収集モジュールとファイル・グラバー・ルールによる構成の構築

インフラストラクチャー側では、オペレーターは自身の仮想プライベートサーバー(VPS)をストームのセントラルサーバーに接続し、盗まれたデータを共有プラットフォームではなく、自身がコントロールするインフラストラクチャー経由でルーティングする。これにより、法執行機関や不正使用の報告が最初にオペレータのノードにヒットするため、中央サーバーはテイクダウンの試みから隔離された状態に保たれます。

チーム管理は、ログへのアクセス、ビルドの作成、クッキーの復元をカバーする権限を持つ複数のワーカーをサポートするため、1つのStormライセンスで、責任を分担した小規模なサイバー犯罪活動をサポートすることができます。

ドメイン検出は、Google、Facebook、Twitter/X、およびcPanelのルールが表示され、サービスごとに盗まれた認証情報を自動的にラベル付けします。

Domain detection rules.
ドメイン検出ルール

アクティブなキャンペーンと価格

調査時点では、ログパネルには、インド、米国、ブラジル、インドネシア、エクアドル、ベトナム、および他のいくつかの国にまたがる1,715のエントリが含まれていました。これらのすべてが実際の被害者なのか、テストデータが含まれているのかは、パネルの画像だけでは確認が難しいが、さまざまなIP、ISP、データサイズがアクティブなキャンペーンと一致しているように見える。

Google、Facebook、Twitter/X、Coinbase、Binance、Blockchain.com、およびCrypto.comにタグ付けされた認証情報は、複数のエントリにまたがって表示され、この種のデータは通常、アカウントの乗っ取り、詐欺、およびより標的を絞った侵入のための初期アクセスに利用される認証情報のマーケットプレイスに行き着きます。

Storm’s log panel
ストームのログパネル
Log entries with cryptocurrency exchange hits
暗号通貨取引所がヒットしたログ・エントリ

Stormは段階的なサブスクリプションで販売されている:7日間のデモで300ドル、標準的な月額900ドル、100オペレータシートと200ビルドのチームライセンスで月額1,800ドル。クライプターが必要となる。

ビルドはサブスクリプションの有効期限が切れた後も実行され続けるため、配備されたステイラーはオペレーターのライセンス状況に関係なくデータを採取し続ける。

The different prices and packages
価格とパッケージの違い

盗まれたセッションの検出

Stormは、ステーラー市場におけるより広範なシフトと一致している。サーバー側の復号化により、攻撃者は従来のデバイス上の復号化を捕捉するように設計されたエンドポイントツールのトリップを回避することができ、セッションクッキーの窃盗はしばらくの間、主要な目的としてパスワードの窃盗に取って代わりつつあります。

Stormのような窃盗犯が取得する認証情報とセッションは、次に来るもの、つまり、見知らぬ場所からのログイン、横方向への移動、確立されたパターンを破るデータアクセスの始まりです。

侵害の指標

  • フォーラムのハンドルネームStormStealer(ストーム・スティーラー

  • フォーラムID:221756

  • アカウント登録:12/12/25

  • 現在のバージョン:v0.0.2.0 (Gunnar)

  • ビルドの特徴C++ (MSVC/msbuild), ~460 KB, Windowsのみ

この記事はVaronisブログに掲載されたものです。

スポンサーおよび執筆はVaronisです。