طور جديد في تهديدات الأمن السيبراني: ستورم يتيح اختراق الجلسات وتجاوز كلمات المرور والمصادقة متعددة العوامل
اكتشف خبراء الأمن السيبراني نوعًا جديدًا من برامج التجسس يُطلق عليه “ستورم”، والذي يغير بشكل جذري طرق استيلاء المهاجمين على حسابات المستخدمين. فبدلاً من الاعتماد على كلمات المرور أو طرق التحقق المتعددة، يستهدف هذا البرنامج ملفات تعريف الارتباط الخاصة بجلسات المستخدمين، مما يسمح للمهاجمين بالوصول إلى الحسابات بشكل غير مرئي ودون إثارة تنبيهات الأمان التقليدية.
اختراق الجلسات وتجاوز الحماية
عند سرقة جلسة المستخدم، يمكن للمهاجمين الولوج إلى الحسابات كما لو كانوا المستخدمين الحقيقيين، دون الحاجة لإعادة تسجيل الدخول أو المرور عبر خطوات التحقق. يعتمد “ستورم” على جمع بيانات المتصفح، بما في ذلك كلمات المرور المحفوظة، وملفات تعريف الارتباط، وبيانات الملء التلقائي، وعناصر التوثيق، ويقوم بمعالجتها على خوادم خارجية بدلاً من تنفيذها على جهاز الضحية، مما يقلل من احتمال اكتشافه بواسطة أدوات الأمان التقليدية.
العمل على مستوى الخادم لتعزيز التمويه
يعمل malware “ستورم” بشكل خفي على مستوى الخادم، حيث يُرسل البيانات المشفرة من المتصفح إلى خوادم يسيطر عليها المهاجمون. بعد ذلك، يستخدم أدوات مدمجة في لوحة التحكم الخاصة بالبرنامج لاستعادة الجلسة، وإعادة تسجيل الدخول عن بعد عبر رموز الجلسة المسروقة. وباستخدام خوادم بروكسي تتطابق مع موقع الضحية، يمكن للمهاجمين التظاهر بأنهم يتصلون من نفس المنطقة، مما يزيد من صعوبة اكتشافهم من قبل أنظمة الحماية.
نطاق الاستخدام وتكلفة الاشتراك
يُباع “ستورم” عبر نظام الاشتراك الشهري، حيث تتوفر خطة تجريبية مدتها أسبوع مقابل 300 دولار، وخطة قياسية مقابل 900 دولار شهريًا، بالإضافة إلى ترخيص فريق بقيمة 1800 دولار شهريًا يدعم حتى 100 مستخدم و200 عملية. حتى بعد انتهاء الاشتراك، يستمر البرنامج في جمع البيانات من الأجهزة المصابة، مما يوفر للمهاجمين فرصة لاستغلال الحسابات بشكل مستمر دون تكاليف إضافية.
انتشار عالمي واستهداف واسع
تشير سجلات الاستخدام إلى وجود أكثر من 1715 عملية تسجيل عبر دول متعددة، منها الهند، والولايات المتحدة، والبرازيل، وإندونيسيا، والإكوادور، وفيتنام، وغيرها. تظهر بيانات الاعتماد المرتبطة بحسابات Google وFacebook وTwitter و Coinbase وBinance وBlockchain.com وCrypto.com في العديد من الإدخالات، مما يدل على أن الحملات تستهدف كلا من الحسابات المؤسسية والعملات الرقمية بشكل كبير.
إمكانيات متقدمة لسرقة البيانات والتوسع في الاختراقات
إضافة إلى سرقة بيانات الدخول، يقوم “ستورم” بجمع المستندات، واللقطات، وبيانات تطبيقات المراسلة، ومعلومات محافظ العملات الرقمية. يمكن للمهاجمين من خلال ذلك التنقل داخل الأنظمة، والوصول إلى ملفات حساسة، وربما توسيع نطاق هجماتهم لتشمل مؤسسات بأكملها. يُبرز هذا التطور كيف أن الأدوات التي كانت حكرًا على الجهات ذات القدرات العالية أصبحت متاحة الآن عبر خدمات الاشتراك، مما يقلق المؤسسات التي تعتمد على حلول الأمان التقليدية.
التحذيرات والنصائح الأمنية
رغم أن أدوات التحليل السلوكي والمراقبة الشبكية قد توفر بعض القدرة على الكشف عن النشاطات غير الاعتيادية، إلا أن الاعتماد فقط على الحماية النهائية قد لا يكون كافيًا. من المهم أن تراقب المؤسسات حركة البيانات بشكل دقيق وتحديث استراتيجياتها الأمنية لمواجهة هذه التهديدات المتطورة.
ختامًا، يُعد “ستورم” علامة على تحول نوعي في طرق الاختراق، حيث أصبح الوصول إلى أدوات متقدمة أسهل وأكثر انتشارًا، مما يتطلب من المؤسسات تعزيز قدراتها الأمنية والاستعداد لمواجهة هذا النوع من الهجمات الجديدة.
