Des chercheurs de l’entreprise de cybersécurité Varonis ont découvert un nouvel infostealer avancé nommé Storm. Ce malware est capable de voler des mots de passe enregistrés, des cookies de session, des données de saisie automatique, des portefeuilles cryptographiques, des jetons de compte Google et même des codes d’authentification à deux facteurs, tout en contournant les mécanismes de sécurité des navigateurs et des outils de sécurité endpoint.
Storm : une approche innovante pour échapper à la détection
Contrairement aux infostealers classiques qui opèrent localement en installant des bibliothèques SQLite piratées sur l’appareil de la victime pour extraire les identifiants stockés dans le navigateur, Storm modifie radicalement cette approche. Au lieu de déchiffrer les données sur l’appareil infecté, il les envoie cryptées vers une infrastructure privée de serveurs où le déchiffrement est effectué à distance.
Cela permet à Storm de rester invisible pour les outils de sécurité endpoint conçus pour détecter les processus locaux de déchiffrement. De plus, comme les données transitent par des serveurs contrôlés par les attaquants, elles sont efficacement protégées contre les tentatives de suppression.
Contournement du chiffrement lié aux applications Google avec Chrome 127
En juillet 2024, Google a introduit le App-Bound Encryption dans Chrome 127, une technologie qui lie les clés de chiffrement au navigateur lui-même, rendant le déchiffrement local beaucoup plus difficile. Selon Varonis, les premiers malwares tentant de contourner cette protection utilisaient l’injection de code dans Chrome ou exploitaient ses protocoles de débogage, laissant ainsi des traces détectables.
Storm évite complètement le processus de déchiffrement local en effectuant cette opération côté serveur. Cela permet aux attaquants d’obtenir des cookies de session complets et d’accéder aux comptes sans avoir besoin du mot de passe, annulant ainsi l’authentification à deux facteurs (2FA).
Données ciblées et accessibilité du malware Storm
Storm fonctionne aussi bien sur les navigateurs basés sur Chromium que sur ceux basés sur Gecko (Firefox, Pale Moon).
- Mots de passe enregistrés et données de saisie automatique
- Cookies de session et jetons de compte Google
- Informations sur les cartes de crédit
- Historique de navigation
- Portefeuilles cryptographiques
- Documents provenant des dossiers utilisateur et d’applications populaires
D’après Varonis, Storm est disponible sur le Dark Web pour 1 000 $ par mois, ce qui le rend accessible à un large éventail d’attaquants. Plusieurs cas d’utilisation ont déjà été signalés dans divers pays, ciblant des identifiants financiers, des comptes sur les réseaux sociaux et des actifs cryptographiques.
Mesures pour se protéger contre Storm
Varonis recommande quelques mesures simples mais efficaces pour l’utilisateur moyen : supprimer régulièrement les cookies du navigateur (idéalement automatiquement), éviter les téléchargements et sites suspects, utiliser un gestionnaire de mots de passe (comme Bitwarden) et mettre à jour tous les outils de sécurité. Les infostealers utilisent de plus en plus l’intelligence artificielle pour créer du code malveillant, ce qui rend la vigilance continue essentielle.
