企業への影響を理解するには、手法の変化を認識することが重要です。従来のスティラーはブラウザの認証情報をローカルで復号化していましたが、これはエンドポイントセキュリティソリューションが検知するのに長けていました。これにはSQLiteライブラリをロードし、認証情報ストアに直接アクセスすることが含まれ、悪意のあるアクティビティの明確な兆候を生み出していました。 しかし、**Google**のApp-Bound Encryptionが**Chrome** 127（2024年7月）で導入され、暗号化キーがブラウザ自体に紐付けられたことで、ローカルでの復号化は著しく困難になりました。初期のバイパス試行では、Chromeへのインジェクションやデバッグプロトコルの悪用が行われましたが、これらの方法でも検知可能な痕跡が残っていました。 スティラーの開発者は、ローカルでの復号化を完全に排除し、暗号化されたファイルを自身のインフラストラクチャに出荷することを選択することで適応しました。このアプローチは、多くのエンドポイントツールが認証情報窃盗の特定に依存しているテレメトリを効果的に回避します。**Storm**は、ChromiumベースおよびGeckoベースのブラウザ（**Firefox**、**Waterfox**、**Pale Moon**）の両方をサーバーサイドで処理するという点で、この戦略をさらに一歩進めています。これは、Firefoxのデータを依然としてローカルで処理するStealC V2のようなツールとは対照的です。 **Storm**によって収集されるデータには、セッションの乗っ取りや被害者からの盗難に必要なすべてが含まれます。保存されたパスワード、セッションCookie、自動入力データ、Googleアカウントトークン、クレジットカード情報、閲覧履歴などです。侵害された従業員のブラウザ1台で、攻撃者は従来のパスワードベースのアラートをトリガーすることなく、SaaSプラットフォーム、内部ツール、クラウド環境への認証済みアクセス権を取得できます。  ## Cookieの復元とセッションハイジャック **Storm**がブラウザデータを復号化すると、盗まれた認証情報とセッションCookieはオペレーターのパネルに直接表示されます。多くのスティラーが盗まれたログの手動再生を必要とするのに対し、**Storm**は後続のステップを自動化します。 Google Refresh Tokenと地理的に一致するSOCKS5プロキシを入力することで、パネルは被害者の認証済みセッションをサイレントに復元します。  **Varonis** Threat Labsは以前からこの種の攻撃を調査してきました。彼らの[Cookie-Bite](https://www.varonis.com/blog/cookie-bite?hsLang=en)研究では、盗まれた**Azure** Entra IDセッションCookieがMFAを無効にし、攻撃者にパスワードを必要とせずに**Microsoft 365**への永続的なアクセスを許可する方法を示しました。[SessionShark](https://www.varonis.com/blog/sessionshark?hsLang=en)分析では、フィッシングキットがMicrosoft 365 MFAをバイパスするためにセッショントークンをリアルタイムで傍受する方法を説明しました。StormのCookie復元機能は、本質的にこの技術を製品化し、サブスクリプションサービスとして販売しています。 ## 収集とインフラストラクチャ 認証情報以外にも、**Storm**はユーザーディレクトリからドキュメントを収集し、Telegram、Signal、Discordからセッションデータを抽出し、ブラウザ拡張機能やデスクトップアプリケーションを介して仮想通貨ウォレットを標的とします。システム情報と複数のモニターにわたるスクリーンショットをキャプチャし、検知のリスクを最小限に抑えるために完全にメモリ内で動作します。  インフラストラクチャの面では、オペレーターは自身の仮想プライベートサーバー（VPS）を**Storm**の中央サーバーに接続し、盗まれたデータを共有プラットフォームではなく、自身が管理するインフラストラクチャを通じてルーティングします。このアプローチは、法執行機関や悪用レポートが最初にオペレーターのノードを標的とするため、中央サーバーをテイクダウンの試みから保護します。 チーム管理機能により、ログアクセス、ビルド作成、Cookie復元に関するさまざまな権限を持つ複数のワーカーが可能になり、単一の**Storm**ライセンスで明確に定義された役割を持つ小規模なサイバー犯罪組織をサポートできます。 ドメイン検出機能は、Google、Facebook、Twitter/X、cPanelの事前定義されたルールを使用して、盗まれた認証情報をサービスごとに自動的にラベル付けし、オペレーターがアカウントのフィルタリングと優先順位付けを容易に行えるようにします。  ## アクティブなキャンペーンと価格設定 調査中、ログパネルにはインド、米国、ブラジル、インドネシア、エクアドル、ベトナム、およびその他のいくつかの国にまたがる1,715件のエントリが含まれていました。すべてのエントリが実際の被害者を表しているか、テストデータが含まれているかを判断することは困難ですが、IP、ISP、データサイズの多様性はアクティブなキャンペーンを示唆しています。 Google、Facebook、Twitter/X、Coinbase、Binance、Blockchain.com、Crypto.comに関連する認証情報が複数のエントリで観察されました。これらのデータは、[認証情報マーケットプレイス](https://www.varonis.com/blog/how-hackers-buy-access?hsLang=en)で一般的に見られ、アカウント乗っ取り、詐欺、より標的を絞った侵入の初期アクセスを促進します。   **Storm**は段階的なサブスクリプションベースで提供されています。7日間のデモは300ドル、標準ライセンスは月額900ドル、100のオペレーターシートと200のビルドをサポートするチームライセンスは月額1,800ドルです。クライプターは別途必要です。 注目すべきは、サブスクリプションが期限切れになってもビルドは引き続き動作し、展開されたスティラーがオペレーターのライセンス状況に関係なくデータを収集し続けることです。  ## 盗まれたセッションの検出 **Storm**は、スティラー市場におけるより広範なトレンドを反映しています。サーバーサイドの復号化により、攻撃者は従来のオンデバイス復号化を検出するように設計されたエンドポイントツールをバイパスでき、セッションCookieの窃盗は、パスワード窃盗に代わる主要な目的としてますます増加しています。 **Storm**のようなスティラーによって収集された認証情報とセッションは、攻撃の初期段階を表し、見慣れない場所からのログイン、ラテラルムーブメント、および確立された規範から逸脱したデータアクセスパターンにつながります。 ## 侵害の兆候 * **フォーラムハンドル:** StormStealer * **フォーラムID:** 221756 * **アカウント登録:** 25/12/12 * **現在のバージョン:** v0.0.2.0 (Gunnar) * **ビルド特性:** C++ (MSVC/msbuild), 約460 KB, Windowsのみ