‘إفشاء ملفات تعريف الارتباط المسروقة يجعل المصادقة متعددة العوامل بلا معنى’: كيف أن البرمجيات الخبيثة الجاهزة التي تكلف 900 دولار شهريًا تمنح قراصنة المبتدئين إمكانية اختراق الحسابات بمستوى الشركات

• تتيح Storm اختراق الجلسات مما يتجاوز كلمات المرور والتحقق المتعدد العوامل
• يمكن للمهاجمين استعادة الجلسات المسروقة عن بُعد دون تنشيط تنبيهات الأمان القياسية
• تعمل البرمجيات الضارة على جانب الخادم لمعالجة بيانات اعتماد المتصفح المشفرة لاستغلال خفي

حذّر الخبراء من أن سلالة جديدة من البرمجيات الضارة تُسمى Storm تغير طريقة عمل اختراق الحسابات.

حددت نتائج جديدة من مختبرات Varonis Threat كيف تتحول هذه السلالة بعيدًا عن كلمات المرور وتتركز على ملفات تعريف الجلسات التي تحتفظ بالمستخدمين مسجلين الدخول.

تتيح هذه الملفات للمهاجمين تجاوز خطوات تسجيل الدخول تمامًا، بما في ذلك التحقق المتعدد العوامل، والذي يعمل تقليديًا كطبقة ثانية من الحماية.

تستمر المقالة أدناه

اختراق الجلسات يحل محل كلمات المرور

بمجرد سرقة جلسة، يمكن للمهاجم الوصول إلى الحسابات كما لو كانوا المستخدم الشرعي دون تنشيط فحوصات المصادقة القياسية.

تجمع Storm بيانات المتصفح، بما في ذلك بيانات الاعتماد المحفوظة وملفات تعريف الجلسة وإدخالات الملء التلقائي ورموز المصادقة، وتتعامل مع كل من المتصفحات المستندة إلى كروميوم وGecko على جانب الخادم، بما في ذلك فايرفوكس وWaterfox وPale Moon، مما يمنحها تغطية أوسع من المنافسين مثل StealC V2.

على عكس الأدوات القديمة، تتجنب فك تشفير هذه المعلومات على جهاز الضحية، بل ترسل بيانات مشفرة إلى خوادم يتحكم بها المهاجمون للمعالجة.

يقلل هذا النهج من الرؤية لأدوات أمان النقاط النهائية، التي تراقب عادةً الأنشطة المشبوهة على الأنظمة المحلية.

بمجرد معالجة البيانات، يمكن للمهاجمين استعادة الجلسات عن بُعد باستخدام الأدوات المدمجة في لوحة التحكم الخاصة بالبرمجيات الضارة.

من خلال الجمع بين رموز الجلسة المسروقة مع خوادم الوكيل التي تتناسب مع موقع الضحية، يمكن للمهاجمين تسجيل الدخول دون إثارة الشك من أنظمة الأمان.

تُباع Storm كخدمة اشتراك، مما يقلل من حواجز الدخول إلى الجريمة الإلكترونية من خلال تقديم مجموعة أدوات كاملة لسرقة البيانات واختراق الحسابات.

تشمل مستويات التسعير تجربة لمدة سبعة أيام بسعر 300 دولار، وخطة قياسية بسعر 900 دولار شهريًا، وترخيص فريق بمبلغ 1800 دولار شهريًا يدعم ما يصل إلى 100 مشغل و200 بناء.

حتى بعد انتهاء الاشتراك، تواصل البرمجيات الضارة المتنشرة جمع البيانات، مما يسمح بالاستغلال المستمر دون تكاليف إضافية.

في وقت التحقيق، احتوى لوحة السجلات على 1715 إدخالًا تمتد عبر الهند والولايات المتحدة والبرازيل وإندونيسيا والإكوادور وفيتنام والعديد من البلدان الأخرى.

تظهر بيانات الاعتماد المرتبطة بـ جوجل وفيسبوك وتويتر وكوينباس وباينانس وBlockchain.com وCrypto.com عبر إدخالات متعددة، وهو نمط يشير إلى أن الحملات النشطة تستهدف كل من الحسابات الشركات وحسابات العملات المشفرة.

بعيدًا عن جلسات تسجيل الدخول، تجمع البرمجيات الضارة المستندات واللقطات وبيانات التطبيقات المراسلة ومعلومات محافظ العملات المشفرة.

تسمح هذه القدرة للمهاجمين بالحركة بشكل جانبي داخل الأنظمة، والوصول إلى ملفات حساسة، ورفع الهجمات المحتملة إلى اختراقات أوسع تؤثر على منظمات بأكملها.

تظهر هذه التطورات كيف أن التقنيات التي كانت مرتبطة سابقًا بالمهاجمين المتقدمين أصبحت متاحة على نطاق واسع من خلال خدمات تعتمد على الاشتراك.

يجب أن تكون المنظمات التي تعتمد فقط على حماية النقاط النهائية التقليدية قلقة.

ومع ذلك، قد تكون المنظمات التي لديها تحليلات سلوكية قوية ومراقبة الشبكة قد تمتلك بالفعل الرؤية اللازمة لاكتشاف الأنماط المرورية غير المعتادة التي تخلقها استعادة الجلسات المسروقة حتمًا.

تابع TechRadar على أخبار جوجل و أضفنا كمصدر مفضل للحصول على أخبارنا وخبراتنا وآرائنا في خلاصاتك. تأكد من النقر على زر المتابعة!

وبالطبع يمكنك أيضًا متابعة TechRadar على TikTok للحصول على أخبار ومراجعات وصناديق فتح بصرية، واحصل على تحديثات دورية منا على واتساب أيضًا.