複数ライセンス割引見積
脅威データベース マルウェア Storm Stealer

Storm Stealer

マルウェア, スティーラーズMezoまで
翻訳内容:

サイバーセキュリティ研究者らは、Google Chrome、Microsoft Edge、Mozilla Firefoxのユーザーを標的とした高度な新たな脅威を確認した。Stormと呼ばれるこの高度な情報窃盗マルウェアは、パスワード窃盗、二要素認証を回避するためのセッションクッキー侵害、決済カードデータの収集といった複数の機能を単一の悪意あるサービスに統合した、多機能な攻撃プラットフォームとして機能する。

レンタル可能なツールキットとして提供されるStormは、サイバー犯罪者にとっての参入障壁を大幅に下げる一方で、10億人を超えるブラウザユーザーを潜在的な危険にさらすことになる。

ストームの内部:静かで巧妙な情報窃盗犯

Stormは、検出を回避しつつデータ抽出を最大化するように設計されています。エンドポイントセキュリティツールをバイパスし、ブラウザの認証情報をリモートで復号化し、攻撃者がアラームを発生させることなく乗っ取ったセッションを復元できるようにします。

従来のマルウェアがローカル復号技術に依存していたのとは異なり、Stormはステルス性を最優先とするアーキテクチャを採用しています。認証情報、セッションクッキー、暗号通貨ウォレット情報などの機密性の高いブラウザデータを、感染システムから離れた攻撃者管理下のサーバーに密かに送信し、そこで復号処理を行います。このリモート方式により、最新のセキュリティ対策を回避できます。

認証情報窃盗手法の進化

認証情報窃盗の手法は大きく変化しました。従来、攻撃者はSQLiteライブラリを使用してブラウザの認証情報ストアにアクセスし、被害者のデバイス上でデータを直接抽出・復号化していました。しかし、セキュリティ対策の進歩に伴い、こうした行為は容易に検出されるようになりました。

Googleが2024年にChrome 127から導入したアプリベース暗号化は、暗号化キーをブラウザ自体に紐付けることで、これらの攻撃をさらに複雑化させた。攻撃者がブラウザのデバッグプロトコルを悪用したり、悪意のあるコードを注入しようとしても、セキュリティシステムは多くの場合、不審な動作を検知することができた。

Stormは、ローカルでの復号化を完全に放棄し、攻撃者が制御するインフラストラクチャに操作を移行することで、被害者のマシンに残る検出可能な痕跡を最小限に抑え、この進化における次の段階を示しています。

サーバーサイド復号化とクロスブラウザ対応

Stormは、リモートサーバー上で復号処理を完全に実行することで、従来の情報窃盗マルウェアを凌駕する進化を遂げています。ChromiumベースとGeckoベースの両方のブラウザをサポートしているため、様々な環境で高い汎用性を発揮します。

盗まれたデータが復号されると、サイバー犯罪者が使用する集中型オペレーターパネルに送信されます。このパネルは、攻撃段階に自動化を導入し、攻撃者が侵害したデータを大規模かつ効率的に利用できるようにします。

自動セッションハイジャックと企業リスク

Stormの特に危険な機能は、認証済みセッションを復元できる点です。攻撃者は、地理的に一致するSOCKS5プロキシとともにGoogleリフレッシュトークンを提供することで、認証要求を発生させることなく、被害者のアクティブなセッションを密かに再確立できます。

この機能には重大な意味合いがある。

  • 企業環境は、たった1つのブラウザが侵害されるだけで危険にさらされ、SaaSプラットフォーム、社内システム、クラウドインフラストラクチャへのアクセスを許してしまう可能性がある。
  • 個人ユーザーは、二段階認証を直接回避することなく、アカウント乗っ取り、金融詐欺、その他の標的型攻撃に直面する可能性がある。

既に認証済みのセッションを再利用することは、従来のログイン保護を事実上無効にする。

低コストで大きな効果を発揮するサイバー犯罪サービス

Stormはサイバー犯罪者にとって月額わずか1,000ドルから利用可能であり、手軽でありながら強力なツールとなっている。この低価格化は高度な攻撃能力の普及を加速させ、高度なスキルを持たない攻撃者でも非常に効果的な攻撃キャンペーンを実行できるようにしている。

低コスト、ステルス性、自動化の組み合わせは、拡張性の高いサービスベースのサイバー犯罪活動への大きな転換点を示している。

防御策:暴風雨への曝露を軽減する

セキュリティ専門家は、Stormのような脅威によってもたらされるリスクを軽減するために、日常的なサイバーセキュリティ対策を強化することの重要性を強調している。

  • 信頼できないソースや非公式のソースからソフトウェアをダウンロードすることは避けてください。
  • フィッシング詐欺やその他のソーシャルエンジニアリングの手法に警戒を怠らないでください。
  • すべてのアカウントとサービスに固有のパスワードを使用してください。
  • 可能な限り二段階認証を有効にし、パスキーがサポートされている場合はパスキーを採用してください。

単一の対策で完全な保護を保証することはできませんが、多層的なセキュリティ対策は侵害される可能性を大幅に低減します。

トレンド

クラウドストレージ更新失敗メール詐欺

フィッシング, スパム
緊急対応を要求する予期せぬメールには、常に注意を払う必要があります。サイバー犯罪者は、パニック、好奇心、焦りを利用して、ユーザーを誤った判断に誘導します。いわゆる「クラウドストレージ更新失敗」メール詐欺は、こうした脅威がいかに巧妙に仕上がっているかを示す好例です。プロフェッショナルな口調とブランドイメージにもかかわらず、これらのメッセージは、いかなる正当な企業、組織、サービスプロバイダーとも一切関係がありません。 説得力はあるが欺瞞的な「最終通告」 一見すると、これらの詐欺メールはクラウドストレージプロバイダーからの公式通知によく似ている。購読料の支払いが失敗したと主張し、写真、動画、文...

CanisterWormマルウェア

マルウェア, ワーム
当初は広く利用されているTrivyスキャナーを標的とした高度なサプライチェーン攻撃が、多数のnpmパッケージに影響を与えるより広範な侵害へとエスカレートした。この攻撃の背後にいる攻撃者は、これまで報告されていなかった自己増殖型ワーム「CanisterWorm」を配備した疑いがあり、これにより侵入の規模と影響が大幅に拡大した。 このマルウェアは、コマンドインフラストラクチャの一部として、分散型...

Ice Open Network (IOP) エアドロップ

不正なウェブサイト
現代のウェブは利便性と機会を提供する一方で、サイバー犯罪者にとって格好の活動の場にもなっています。閲覧時の注意はもはや選択肢ではなく、必須事項です。不正なウェブサイトや仮想通貨詐欺はますます巧妙化しており、経験豊富なユーザーでさえ騙すために正規のプラットフォームを模倣することも少なくありません。その一例が、仮想通貨ウォレットから資金を抜き取ることを目的とした詐欺である偽の「Ice Open ...

最も見られました

「プリンタドライバが利用できません」エラーを修正する方法

問題
35,124
プリンターは、ユーザーが最も必要としているときにいつでもジョブを実行することを拒否することで有名です。幸いなことに、お使いのプリンターに「プリンター ドライバーは使用できません」というエラーが表示されている場合は、問題を解決できる簡単な解決策がいくつかあります。この特定のエラーは、破損したドライバー ファイル、古いドライバー、またはドライバーの非互換性が原因である可能性があります。 Micr...
画面を共有するとDiscordが黒い画面を表示するスクリーンショット

画面を共有するとDiscordが黒い画面を表示する

問題
29,372
最初に立ち上げられたとき、Discord はゲーム コミュニティ向けの VoIP プラットフォームでした。しかし、その後数年間でその範囲を拡大し、多数の新機能を追加し、最大のソーシャル プラットフォームの 1 つになり、月間アクティブ ユーザー数は 1 億 4000 万人を超えました。現在、ユーザーはプライベート インスタント メッセージを送信したり、VoIP やビデオ通話を開始したり、コン...

Eporner.com

問題
24,565
インターネットは、役立つコンテンツ、エンターテイメント、そして情報で溢れる広大な空間ですが、同時に危険な側面も存在します。番組のストリーミング再生、アプリのダウンロード、アダルトコンテンツプラットフォームの利用など、どんな場面でも常に警戒を怠らないことが重要です。多くのサイト、特に積極的な広告で運営されているサイトは、深刻なセキュリティリスクをもたらす可能性があります。懸念されているサイトの...
読み込んでいます...