Недавно обнаруженное вредоносное ПО, продаваемое на черном рынке, позволяет любому украсть пароли, криптовалюту и многое другое с компьютера под управлением Windows, даже если включены строгие меры безопасности. Каждый раз, когда вы вздыхаете, пробираясь через еще одно поле пароля, или ворчите, проверяя свой телефон на наличие кода двухфакторной аутентификации, вы можете утешаться тем, что эти неудобства обеспечивают безопасность вашей работы и личных данных. Но безопасность постоянно развивается, и ни одна крепость не является неприступной.
Согласно отчету о безопасности компании Varonis, занимающейся кибербезопасностью, новое вредоносное ПО — похититель информации под названием Storm — было обнаружено в начале 2026 года. Как вы можете догадаться, информатор — это программа, которая крадет вашу конфиденциальную личную информацию и скрывает ее для злоумышленника. Отличие Storm от других подобных инструментов заключается в его способности получать зашифрованную информацию из вашего браузера и расшифровывать ее на удаленном сервере. Подумайте об этом как о разнице между ограблением банка и взломом сейфа, пока вы все еще находитесь на месте преступления, и тем, чтобы забрать весь сейф домой и взломать его в подвале. В первом сценарии вам нужно взять с собой инструменты для взлома сейфов, пока идут секунды до прибытия полиции. В последнем случае вы можете работать, не выходя из собственного дома, тратя все время на то, чтобы взломать комбинацию.
Поскольку современные браузеры защищены от информационных воров, которые работают на зараженном устройстве для кражи расшифрованных данных — другими словами, они очень хорошо обнаруживают эти инструменты для взлома сейфов — у Storm есть эксперты по кибербезопасности, поднимающие брови. Вот как работает эта новая угроза и почему она может быстро распространиться.
Storm — это новое вредоносное ПО, которое удаленно крадет и расшифровывает учетные данные.
Традиционные информаторы разбивают лагерь в вашем браузере, где они получают доступ к локальным базам данных SQLite и приступают к взлому ваших цифровых замков. Конечно, популярные браузеры, такие как проект Chromium, лежащий в основе Chrome, Edge и многих других, усилили свою защиту от подобных атак. Браузеры воспринимают любой признак локального доступа к базе данных как серьезный красный флаг, фактически натравливая сторожевые псы на злоумышленника, прежде чем он сможет уйти с товаром. Google даже внедрил меру безопасности под названием App-Bound Encryption, которая привязывала ключи к самому браузеру, но хакеры быстро превратили ее в фарш.
По словам Варониса, Шторм даже не беспокоится об этой локальной игре в кошки-мышки. Вместо этого он крадет файлы в зашифрованном виде. Продолжая нашу метафору об ограблении банка, представьте, что система безопасности банка срабатывает, когда кто-то начинает вмешиваться в замки сейфа, но если кто-то просто загружает сейф в грузовик и уезжает, сигнализация даже не срабатывает. Оказавшись на сервере злоумышленника, Storm приступает к взлому зашифрованных файлов. У компании есть собственные серверы, но данные передаются через виртуальный частный сервер злоумышленника, запутывая собственную инфраструктуру Storm. Восстанавливая аутентифицированный сеанс после эксфильтрации, Storm может использовать файлы cookie сеанса для обхода двухфакторной аутентификации (2FA) и других современных мер безопасности.
Когда Storm проникает в систему, он может извлекать пароли, данные автозаполнения, такие как имена и адреса, информацию о кредитной карте, историю посещений и так далее. Он также нацелен на криптокошельки, приложения для обмена сообщениями, такие как Discord, Signal и Telegram, а также файлы с накопителя пользователя. На всякий случай он также делает снимки экрана. Хорошей новостью, по крайней мере для некоторых, является то, что Storm можно развернуть только на системах Windows.
Storm — это вредоносное ПО, предоставляемое по подписке, что может увеличить его охват
Пользователи в значительной степени привыкли к программному обеспечению как услуге (SaaS) — практике, при которой компании-разработчики программного обеспечения взимают постоянную плату за продукт. Вы платите ежемесячно за такие вещи, как Spotify, Netflix или Adobe Photoshop. Но чего вы, возможно, не знаете, так это того, что киберпреступники тоже запрыгнули на поезд SaaS, продавая злоумышленникам полностью работоспособное вредоносное ПО. Было время, когда потенциального хакера могло отпугнуть простое отсутствие технических знаний. В наши дни даже злоумышленник с очень небольшими знаниями в области программирования или работы в сети может просто приобрести полностью рабочий набор вредоносных программ и совершить изощренные киберпреступления.
По словам Варониса, Storm является одним из таких примеров, и его система ценообразования отражает ту деловую смекалку, которую можно ожидать от законной компании-разработчика программного обеспечения, а не от торговца кибероружием на черном рынке. Недельная демо-версия пакета стоит 300 долларов, а ежемесячная подписка — 900 долларов. Существует даже корпоративная подписка за 1800 долларов в месяц, которая разрешает подключение до 100 операторов. Но в отличие от обычных подписок, Storm продолжит собирать данные из скомпрометированных сеансов даже после того, как подписчик не сможет оплатить свой счет. Неясно, получает ли подписчик украденные данные, собранные после истечения срока оплаты.
Такая доступность означает, что такая угроза, как Storm, может быстро масштабироваться, поскольку злоумышленники спешат приобрести ее до того, как разработчики браузеров смогут исправить уязвимости, которые она использует. Обеспокоенные пользователи Windows могут предпринять некоторые шаги для снижения риска. Поскольку Storm может легко обойти 2FA, включите ключи доступа для всех учетных записей, которые их поддерживают. Вам по-прежнему следует использовать 2FA везде. Следите за входами в систему из странных мест, попытками сменить пароли и другими признаками того, что вас взломали.
